[Postfixbuch-users] Untrusted TLS connection mit eigener Root-CA unter SLES
Ralf Hansen
ralf.hansen2000 at yahoo.de
Fr Mai 15 17:56:13 CEST 2015
Hallo zusammen,
ich bin schon seit Tagen dabei aber bekomme es trotz Geduld und Google
einfach nicht hin.
Ich verwende Postfix 2.9.4 in einem Multi-Instance-Setup auf SLES 11.3
(kein chroot).
Innerhalb unseres Firmennetzes werden selbst signierte Zertifikate
unserer eigenen CA eingesetzt.
Wenn ich vom Mailserver "mailsrv" eine Mail an 10.100.120.251 sende,
erhalte ich eine "Untrusted TLS connection".
May 15 17:39:33 mailsrv postfix-instanz01/smtp[47812]: Untrusted TLS
connection established to 10.100.120.251[10.100.120.251]:25: TLSv1 with
cipher ADH-AES256-SHA (256/256 bits)
Ich würde aber gerne eine "Trusted Connection" erreichen.
Folgendes habe ich versucht:
Das Zertifikat "meineRootCA.pem" in /etc/ssl/certs/meineRootCA.pem abgelegt.
# Neu hashen der Zertifikate
c_rehash /etc/ssl/certs/
Danach ergibt ein manueller Test
openssl s_client -starttls smtp -connect 10.100.120.251:25
auch die Ausgabe "Verify return code: 0 (ok)", d.h. das System scheint
das Zertifikat der Root-CA anerkannt zu haben.
Postfix main.cf
---------------
smtp_tls_security_level = may
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtp_tls_loglevel = 1
smtp_tls_CAfile = /etc/ssl/certs/meineRootCA.pem
smtp_tls_CApath = /etc/ssl/certs/
Trotz Postfix-restart, weiterhin ein "Untrusted TLS connection established".
Auch wenn ich die Zertifikate ins Postfix-Verzeichnis kopiere und die
Pfade der main.cf dorthin anpasse ändert sich nichts.
Das Relaying in der Transport-Map erfolgt auf eine Ziel-IP statt eines
DNS-Namens.
Ich hatte schon die Befürchtung dass es daran liegen könnte und habe
einen entsprechenden /etc/hosts Eintrag erstellt und in der
transport-Datei auf den DNS-Namen verwiesen, aber auch kein Erfolg... :-(
Warum vertraut mein System mitterweile unserer Root-CA, aber Postfix nicht?
Was kann ich noch tun?
Danke im Voraus
Ralf
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20150515/17644bb1/attachment.html>
Mehr Informationen über die Mailingliste Postfixbuch-users