[Postfixbuch-users] postfix/cyrus und thawte-ssl ...
Foo Bar
foobar at web.de
Mi Mär 7 10:14:11 CET 2012
On 03/07/2012 09:28 AM, Andreas Schulze wrote:
> Am 06.03.2012 20:34 schrieb foobar at web.de:
>> ich versteh irgendwie den ssl-kram nicht ;(
>
> Hallo,
> Ich gehe mal von so einem Setup aus. Das ist wohl nicht unüblich:
[...]
Danke für die Erklärung, aber funktionieren tut das nicht ;(
Ich versuche das mal zusammenzufassen.
Wie geht man eigentlich vor ?
Angenommen: postfix, cyrus
1. CSR erstellen
=> foobar.key
=> foobar.csr
2. CSR zu Thawte schicken, dann kommt unser Cert
=> foobar.cert
3. Thawte Root CA runterladen
=> thawte_root_intermediate.pem
Nun Dienste setupen
apache braucht
SSLCertificateChainFile /etc/ssl/Thawte/thawte_root_intermediate.pem
SSLCertificateFile /etc/ssl/Thawte/foobar.cert
SSLCertificateKeyFile /etc/ssl/Thawte/foobar.key
Das ganze unter:
https://search.thawte.com/support/ssl-digital-certificates/index?page=content&id=SO9555
checken, damit wir wissen das wir die richtigen
thawte_root_intermediate.pem Sachen erwischt haben.
Ergenis: funktioniert super
> postfix braucht
> smtpd_tls_cert_file = /etc/ssl/${myhostname}/cert+intermediate+root.pem
> smtpd_tls_key_file = /etc/ssl/${myhostname}/key.pem
Das würde heißen:
cat foobar.cert \
thawte_root_intermediate.pem > cert+intermediate+root.pem
Ergebnis => funktioniert nicht ;(
Ich hab folgendes versucht;
smtpd_tls_key_file=/etc/ssl/Thawte-Certs/foobar.key
smtpd_tls_cert_file=/etc/ssl/Thawte-Certs/foobar.cert
smtpd_tls_CAfile=/etc/ssl/Thawte-Certs/thawte_root_intermediate.pem
Ergebnis => funktioniert auch nicht ;(
Wenn ich folgendes mache
echo quit | openssl s_client -showcerts -connect mail.foobar.com:465
erhalte ich folgende Ausgabe [etwas gekürzt] ;)
Certificate chain
0 s:/C=DE/.../CN=*.foobar.com
i:/C=US/O=Thawte, Inc./CN=Thawte SSL CA
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
1 s:/C=US/O=Thawte, Inc./CN=Thawte SSL CA
i:/C=US/O=thawte, Inc./OU=Certification Services Division/OU=(c) 2006
thawte, Inc. - For authorized use only/CN=thawte Primary Root CA
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
2 s:/C=US/O=thawte, Inc./OU=Certification Services Division/OU=(c) 2006
thawte, Inc. - For authorized use only/CN=thawte Primary Root CA
i:/C=ZA/ST=Western Cape/L=Cape Town/O=Thawte Consulting
cc/OU=Certification Services Division/CN=Thawte Premium Server
CA/emailAddress=premium-server at thawte.com
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
---
Server certificate
subject=/C=DE/.../CN=*.foobar.com
issuer=/C=US/O=Thawte, Inc./CN=Thawte SSL CA
---
No client certificate CA names sent
---
SSL handshake has read 4446 bytes and written 407 bytes
---
New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
Server public key is 4096 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1
Cipher : DHE-RSA-AES256-SHA
Session-ID: ..........
Session-ID-ctx:
Master-Key: ..........
Key-Arg : None
PSK identity: None
PSK identity hint: None
Start Time: 1331110951
Timeout : 300 (sec)
Verify return code: 20 (unable to get local issuer certificate)
---
Das sagt uns meiner Ansicht nach das die Cert-Kette passt,
oder nicht ?
Ja, da steht 'Server public key is 4096 bit', aber das geht nicht
anders weil soweit ich weis Thawte 4096 haben will wenn man ein
Wildcard-Cert (*.foobar.com) beantragt, was hier verwendet wird.
Mehr Informationen über die Mailingliste Postfixbuch-users