[Postfixbuch-users] SSL Zertifikat von Postfix für Cyrus nutzen?

Steffen Mutter steffen at gnuher.de
Di Dez 2 10:23:35 CET 2008


On Tue, 02 Dec 2008 09:00:52 +0100
Maik Röhrig <testuser at micz.de> wrote:

> Jetzt bin ich schon einen Schritt weiter. Mit geänderten Rechten kann 
> ich vom Thunderbird unter Linux per TLS auf den Cyrus zugreifen.

Dann stimmt die Hauptsache ja schon.

> Wenn ich jedoch jetzt von einem Thunderbird (gleiche Version) unter 
> Windows versuche auf Cyrus zuzugreifen bekomm ich folgenden Fehler:

Was steht denn im Cyrus logfile? Auch negotiation failed, vielleicht
ein bischen mehr ausführlicher?

> accepted connection

Also das da sieht ja schon gut aus.

> STARTTLS negotiation failed: [meine client ip]

Das ist nicht wirklich aussagekräftig, zumal das ja unter Linux zu tun
scheint. Hm, mal in meine config schauen...

Also, ich nehme mal an, der Donnervogel moniert etwas an der Übergabe
des Zertifikats. Ich übergebe das gleiche Zertifikat 3 mal:

/etc/imapd.conf:
-- schnipp --
# cyrus certs
tls_ca_file: /var/imap/server.pem
tls_cert_file: /var/imap/server.pem
tls_key_file: /var/imap/server.pem
-- schnappp --

Vielleicht hast Du ja eines 'vergessen'?

Das 'bauen' des Zertifikats habe ich folgendermaßen nach einem Hau2
angefertigt:

openssl req -new -nodes -out req.pem -keyout key.pem  
openssl rsa -in key.pem -out new.key.pem
openssl x509 -in req.pem -out ca-cert -req \
-signkey new.key.pem -days 999 

mkdir /var/imap

cp new.key.pem /var/imap/server.pem
rm new.key.pem
cat ca-cert >> /var/imap/server.pem

chown cyrus:mail /var/imap/server.pem
chmod 600 /var/imap/server.pem # Your key should be protected

echo tls_ca_file: /var/imap/server.pem >> /etc/imapd.conf
echo tls_cert_file: /var/imap/server.pem >> /etc/imapd.conf
echo tls_key_file: /var/imap/server.pem >> /etc/imapd.conf

Zur Not baust Du Dir dafür halt ein neues Zertifikat, dass dann alle
Anforderungen erfüllt. Cyrus ist halt schon ein bisschen extravagant,
wenn man so will - aber sehr, sehr zuverlässig.
Obwohl ich in einer Neuauflage des Buchs über IMAP+Postfix mir von den
Autoren noch eine Abhandlung über Dovecot wünsche - das Teil benutze
ich daheim auf meinem 'Miniserver' im Keller
(Via Epia ITX Maschine - würde bei einer dedizierten
Serverkonfiguration wohl Schluckauf bekommen, da läuft Postfix,
lighthttpd, Dovecot drauf)

Gruß,
SMut



Mehr Informationen über die Mailingliste Postfixbuch-users