[Postfixbuch-users] postfix/cyrus und thawte-ssl ...
Foo Bar
foobar at web.de
Di Mär 6 23:16:26 CET 2012
On 03/06/2012 09:55 PM, Werner Detter wrote:
>
> Am 06.03.12 20:34, schrieb foobar at web.de:
>>
>> hi @all,
>>
>> ich versteh irgendwie den ssl-kram nicht ;(
>>
>> ich hab ein wildcard-ssl-cert von thawte, dazu das ca-cert und die
>> sub-ca-certs das alles hab ich im apache reingbaut und die cert-kette ist ok,
>> funktioniert alles super ...
>>
>> wenn ich das gleiche jetzt in die main.cf und die imap.conf einbaue kommt nur
>>
>> echo '. logout' | openssl s_client -showcerts -connect server01:993
>> [...]
>> Verify return code: 20 (unable to get local issuer certificate)
>>
>> warum ?
>> hat jemand eine idee wo ich schauen kann, ich wühl mich schon ohne hinweis seit
>> einem tag durchs internet ... ;(
>>
>> im apache hab ich das so und das tut
>> SSLCertificateKeyFile /etc/ssl/Thawte-Certs/server.key
>> SSLCertificateFile /etc/ssl/Thawte-Certs/server.cert
>> SSLCACertificateFile /etc/ssl/Thawte-Certs/thawte_Primary_Root_CA.pem
>>
>> main.cf
>> smtpd_tls_key_file=/etc/ssl/Thawte-Certs/server.key
>> smtpd_tls_cert_file=/etc/ssl/Thawte-Certs/server.cert
>> smtpd_tls_CAfile=/etc/ssl/Thawte-Certs/thawte_Primary_Root_CA.pem
>>
>> imap.conf
>> tls_ca_path: /etc/ssl/Thawte-Certs
>> tls_cert_file: /etc/ssl/Thawte-Certs/server.cert
>> tls_key_file: /etc/ssl/Thawte-Certs/server.key
>> tls_ca_file: /etc/ssl/Thawte-Certs/thawte_Primary_Root_CA.pem
>
>
> Hi,
>
> für die Überprüfung muss das Root-CA-Cert ("thawte_Primary_Root_CA.pem") in der lokalen OpenSSL-Installation hinterlegt werden.
> Dann klappt auch das Prüfen :) Also schau z.B. nach /etc/ssl/certs oder dergleichen :)
ich hab es mal nach /etc/ssl/certs kopiert, da liegen ja schon welche
rum ...
bringt aber leider nich ;(
also mal noch ein "c_rehash /etc/ssl/certs/" gemacht ...
nun erhalte ich als antwort:
echo '. logout' | openssl s_client -showcerts -connect server01:993
[...]
Verify return code: 19 (self signed certificate in certificate chain)
hääääää ??? da is kein selg signed drin ... was will er von mir ?
Mehr Informationen über die Mailingliste Postfixbuch-users