[Postfixbuch-users] postfix/cyrus und thawte-ssl ...

Mathias Jeschke postfixbuch-users at gmj.cjb.net
Fr Mär 9 00:55:38 CET 2012 

Am 08.03.12 22:13, schrieb Foo Bar:

> Wenn das möglich wär, hätte ich das schon gemacht ;(

[...]

Das war doch recht hilfreich:

> mj at datengrab:~$ echo quit | strace -efile openssl s_client -connect srv01.open-slx.com:993 2>&1 | egrep 'ssl|Verify return code'
> execve("/usr/bin/openssl", ["openssl", "s_client", "-connect", "srv01.open-slx.com:993"], [/* 17 vars */]) = 0
> open("/usr/lib/libssl.so.0.9.8", O_RDONLY) = 3
> open("/usr/lib/ssl/openssl.cnf", O_RDONLY|O_LARGEFILE) = 3
>     Verify return code: 20 (unable to get local issuer certificate)

> mj at datengrab:~$ echo quit | strace -efile openssl s_client -connect srv01.open-slx.com:993 -CApath /tmp 2>&1 | egrep 'ssl|Verify return code'
> execve("/usr/bin/openssl", ["openssl", "s_client", "-connect", "srv01.open-slx.com:993", "-CApath", "/tmp"], [/* 17 vars */]) = 0
> open("/usr/lib/libssl.so.0.9.8", O_RDONLY) = 3
> open("/usr/lib/ssl/openssl.cnf", O_RDONLY|O_LARGEFILE) = 3
> open("/usr/lib/ssl/cert.pem", O_RDONLY|O_LARGEFILE) = -1 ENOENT (No such file or directory)
> stat64("/usr/lib/ssl/certs/c33a80d4.0", {st_mode=S_IFREG|0644, st_size=1155, ...}) = 0
> open("/usr/lib/ssl/certs/c33a80d4.0", O_RDONLY|O_LARGEFILE) = 4
> stat64("/usr/lib/ssl/certs/c33a80d4.1", 0xbedf8bb8) = -1 ENOENT (No such file or directory)
>     Verify return code: 0 (ok)

Also ich weiß ja nicht welcher SSL-Client außer s_client bei Dir sonst
noch Probleme macht, aber ein Verbindungsaufbau mit Firefox hat bei mir
keine Problem verursacht (zumindest bis nach dem SSL-Handshake) und
wie Du an obigem s_client-Aufruf siehst, scheint der Server so weit i.O.
zu sein.

Einzig das Verhalten von s_client, wenn man keinen "-CApath" angibt,
erschließt sich mir nicht ganz (könnte auch ein Bug sein).
Wenn man irgendein Verzeichnis angibt (hier: /tmp) sucht openssl
offenbar im Standardverzeichnis (/usr/lib/ssl/certs ist bei mir ein
Symlink auf /etc/ssl/certs).

(Evtl. ist das aber nur bei Debian squeeze in Version 0.9.8o
der Fall, bei MacOSX 10.6 (OpenSSL 0.9.8r) geht's auch ohne -CApath.
Andere Systeme habe ich auf die Schnelle nicht zur Hand.

Problem solved!?

Gruß,
Mathias.

Mehr Informationen über die Mailingliste Postfixbuch-users