[Postfixbuch-users] SMTP-Auth mit STARTTLS scheitert
Markus Hohlmeier
markus at hohlmeier.de
Do Aug 23 15:02:23 CEST 2012
>> Überprüfe den Pfad bitte mal genau und schau auch in die Datei rein,
>> vielleicht existiert sie dort zwar, aber nur mit wenigen/keinem CA-Cert
>> drin. Ich hab nämlich unter Debian 6: smtp_tls_CAfile =
>> /etc/ssl/certs/ca-certificates.crt
>> Das würde auch erklären wieso ein eigenes CA funktioniert.
> Habe den Pfad mal geändert und das StartSSL.com-CA-Zertifikat-Bundle an
> die Datei ge-"cat"-et. Der zweite Fehler bleibt trotzdem (der erste ist
> weg, was ich komisch finde: ich hab die Datei vorher eigentlich
> rauskopiert)…:
Du hast das ganze ja 2mal drin: z.B. smtpd_tls_CAfile und
smtp_tls_CAfile. Da dürfte ein wenig die Verwirrung herkommen.
Wenn ich jetzt richtig liege willst du Zertifikate anderer Server beim
Versenden auswerten können(smtp_tls_CAfile) und von dir aus ein
Zertifikat(+ STARTTLS(smtpd_use_tls = yes bzw. smtpd_tls_security_level
= may)) beim Empfang anbieten(smtpd_tls_cert_file und
smtpd_tls_key_file). Das Augenmerk liegt im smtpd (mit d) und smtp (ohne
d). Ersteres empfängt, letzteres versendet. Die restlichen Parameter
haben wenn ich mich auf die schnelle nicht irre mit Client-Zertifikaten
zu tun und drehen das Spielchen um, d.h. der Client präsentiert deinem
Server ein Zertifikat und nicht andersherum. Das wird in der Regel zur
Authentifizierung genutzt; steht wie ich grad sehe auch im Quelltext im
Buch als kleiner Kommentar.
Wenn diese Unterscheidung mal sauber läuft, dürften eigtl. keine Fehler
mehr auftauchen. Zudem brauchst du bei smtp_tls_CAfile wohl eher ein
restart und nicht nur ein reload, weil er root Rechte braucht und ich
bezweifle, dass er die bei einem reload einfach so bekommt/bekommen
sollte. Kurzum der Fehler könnte quasi auch noch "alt" sein.
Mehr Details: http://www.postfix.org/TLS_README.html#server_tls und
http://www.postfix.org/TLS_README.html#client_tls
> TLS library problem: 12358:error:14094418:SSL
> routines:SSL3_READ_BYTES:tlsv1 alert unknown ca:s3_pkt.c:1102:SSL alert
> number 48
>> Siehe dazu auch: http://listi.jpberlin.de/pipermail/postfixbuch-users/2011-December/057724.html
> Sieht meinem Problem ganz ähnlich - habe also auch in der chroot mein
> Zertifikat mit "cat" drangehängt. openssl s_client liefert auch immer
> Verify return code: 0 (ok) (egal welche .crt ich verwende)
Mehr Informationen über die Mailingliste Postfixbuch-users