Frage zur CA von letsencrypt
Werner Flamme
w.flamme at web.de
Sa Aug 13 08:19:23 CEST 2016
Am 12.08.2016 um 23:13 schrieb Andreas Meyer:
> Andreas Meyer <anmeyer at mailbox.org> schrieb am 12.08.16 um 23:03:58 Uhr:
>
>> Ich habe das lets-encrypt-x3-cross-signed.pem.txt auf den Server kopiert
>> und in /var/lib/ca-certificates/pem als lets-encrypt-x3-cross-signed.pem
>> gespeichert und ein c_rehash . ausgeführt. Hat geklappt.
>
> Quatsch, was ich da gemacht habe. Das Zertifikat, das Post als Sender
> für nimmini.de vorlegt ist von StartCom zertifiziert und StartCom ist
> eingetragen in /var/lib/ca-certificates/pem.
Aha, schon mal eine Erkenntnis :)
>> Aug 12 22:54:48 bitwater1 postfix/smtpd[17966]: connect from mail.nimmini.de[46.38.231.143]
>> Aug 12 22:54:48 bitwater1 postfix/smtpd[17966]: Untrusted TLS connection established from mail.nimmini.de[46.38.231.143]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
>> Aug 12 22:54:48 bitwater1 postfix/smtpd[17966]: 271E9222BE: client=mail.nimmini.de[46.38.231.143]
>> Aug 12 22:54:48 bitwater1 postfix/cleanup[17970]: 271E9222BE: message-id=<20160812225443.77f4ae3e at workstation.bitcorner.intern>
>> Aug 12 22:54:48 bitwater1 postfix/qmgr[17552]: 271E9222BE: from=<a.meyer at nimmini.de>, size=2062, nrcpt=1 (queue active)
>> Aug 12 22:54:48 bitwater1 postfix/smtpd[17966]: disconnect from mail.nimmini.de[46.38.231.143]
>> Aug 12 22:54:48 bitwater1 postfix/local[17971]: 271E9222BE: to=<andreas at bitwater.de>, relay=local, delay=0.04, delays=0.02/0/0/0.02, dsn=2.0.0, status=sent (delivered to mailbox)
>
> Die Verbindung bleibt halt untrusted. Ein
> openssl s_client -starttls smtp -connect 46.38.231.143:25
> liefert ein positives Ergebnis.
Das hat doch nichts zu sagen. Mit dem openssl s_client testest Du smtpd.
smtpd zeigt Dir brav das installierte Zertifikat, und wenn die komplette
Chain kommt, ist es schön.
Der Teil von Postfix, der mit bitwater1 Kontakt aufnimmt, ist aber smtp,
ohne d hinten dran ;). Hast Du denn die entsprechenden smtp_-Parameter
auf mail.nimmini.de gesetzt? Siehe z. B.
<http://www.postfix.org/postconf.5.html#smtp_tls_cert_file>.
Gruß
Werner
--
Mehr Informationen über die Mailingliste Postfixbuch-users