[Postfixbuch-users] postfix/cyrus und thawte-ssl ...

Werner Detter werner at aloah-from-hell.de
Mi Mär 7 08:59:44 CET 2012


Am 06.03.12 23:16, schrieb Foo Bar:
> On 03/06/2012 09:55 PM, Werner Detter wrote:
>>
>> Am 06.03.12 20:34, schrieb foobar at web.de:
>>>
>>> hi @all,
>>>
>>> ich versteh irgendwie den ssl-kram nicht ;(
>>>
>>> ich hab ein wildcard-ssl-cert von thawte, dazu das ca-cert und die
>>> sub-ca-certs das alles hab ich im apache reingbaut und die cert-kette ist ok,
>>> funktioniert alles super ...
>>>
>>> wenn ich das gleiche jetzt in die main.cf und die imap.conf einbaue kommt nur
>>>
>>> echo '. logout' | openssl s_client -showcerts -connect server01:993
>>> [...]
>>> Verify return code: 20 (unable to get local issuer certificate)
>>>
>>> warum ?
>>> hat jemand eine idee wo ich schauen kann, ich wühl mich schon ohne hinweis seit
>>> einem tag durchs internet ... ;(
>>>
>>> im apache hab ich das so und das tut
>>>    SSLCertificateKeyFile /etc/ssl/Thawte-Certs/server.key
>>>    SSLCertificateFile /etc/ssl/Thawte-Certs/server.cert
>>>    SSLCACertificateFile /etc/ssl/Thawte-Certs/thawte_Primary_Root_CA.pem
>>>
>>> main.cf
>>> smtpd_tls_key_file=/etc/ssl/Thawte-Certs/server.key
>>> smtpd_tls_cert_file=/etc/ssl/Thawte-Certs/server.cert
>>> smtpd_tls_CAfile=/etc/ssl/Thawte-Certs/thawte_Primary_Root_CA.pem
>>>
>>> imap.conf
>>> tls_ca_path: /etc/ssl/Thawte-Certs
>>> tls_cert_file: /etc/ssl/Thawte-Certs/server.cert
>>> tls_key_file: /etc/ssl/Thawte-Certs/server.key
>>> tls_ca_file: /etc/ssl/Thawte-Certs/thawte_Primary_Root_CA.pem
>>
>>
>> Hi,
>>
>> für die Überprüfung muss das Root-CA-Cert ("thawte_Primary_Root_CA.pem") in der lokalen OpenSSL-Installation hinterlegt werden.
>> Dann klappt auch das Prüfen :) Also schau z.B. nach /etc/ssl/certs oder dergleichen :)
> 
> ich hab es mal nach /etc/ssl/certs kopiert, da liegen ja schon welche
> rum ...
> bringt aber leider nich ;(
> 
> also mal noch ein "c_rehash /etc/ssl/certs/" gemacht ...
> 
> nun erhalte ich als antwort:
> 
> echo '. logout' | openssl s_client -showcerts -connect server01:993
> [...]
> Verify return code: 19 (self signed certificate in certificate chain)
> 
> hääääää ??? da is kein selg signed drin ... was will er von mir ?

Moin,

Frage: ich hatte auch anfangs Problem mit Thawtee-Certs, auch nachdem ich das Zertifikat nach /etc/ssl/certs gelegt hatte.
Schuld war meine Private-Key-Grösse von 4096 Bits, ich hab danach das Cert mit 2048 Bits getauscht (in Absprache mit Thawthe)
und danach ging die Validierung.

Caio,
Werner

Hier noch eine kurz ein Auszug aus der Refernz mit Thawtee:
You are receiving the status/error code of 20 because OpenSSL is unable to find root CA on your system. You can get a status code of 0 if you specify
'-CAfile' to be that of 'AddTrust External CA Root' or you may specify '-CApath' and specify where your distro keeps its root CAs (e.g. /etc/ssl/ )












Mehr Informationen über die Mailingliste Postfixbuch-users