AW: verschlüsselter Austausch Server <-> Server

Ralf Eichler Ralf.Eichler at dfkdw.org
Di Jun 14 06:56:33 CEST 2016 

Hallo Sebastian, 

wäre es möglich, dass es am .pfx hängt?
Im  TLS_Readme [1] finde ich auf die schnelle keine Empfehlung, intermediate-zertifikate wie von dir beschrieben auszuliefern.
Damit dem Zertifikat vertraut wird, scheint smtp[d]_tls_CAPath verwendet zu werden.

Schuss ins Blaue: domain.de.pfx so anpassen, dass nur "dein" Zertifikat enthalten ist.

Grüße,
Ralf

[1] http://www.postfix.org/TLS_README.html

-----Ursprüngliche Nachricht-----
Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von sebastian at debianfan.de
Gesendet: Dienstag, 14. Juni 2016 06:43
An: postfixbuch-users at listen.jpberlin.de
Betreff: Re: verschlüsselter Austausch Server <-> Server

Klar ;-)

Ich wurde darauf hingewiesen, dass ich das Zertifikat für domain.de bekommen habe, ich aber mail.domain.de haben wollte.

Also habe ich für *.domain.de nochmal ein Zertifikat beantragt und eingebaut.

Thunderbird mäkelt beim IMAP nur herum, wenn ich domain.de als IMAP-Server angebe - bei imap.domain.de gehts problemlos.

Das Wildcard-Zertifikat scheint also in Ordnung zu sein.

Aber Postfix verhält sich jetzt anders - jetzt sagt er:

Jun 14 06:31:17 debian postfix/smtpd[7027]: warning: cannot get RSA private key from file
/root/xn--deiner-dta.de/postfix/xn--deiner-dta.de.key.priv: disabling TLS support Jun 14 06:31:17 debian postfix/smtpd[7027]: warning: TLS library
problem: error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch:x509_cmp.c:341:

Ich habe das Zertifikat geprüft:

# openssl rsa -in domain.de.key.priv -check -noout RSA key ok

In der main.cf steht:

smtpd_tls_cert_file = domain.de.pfx
smtpd_tls_key_file = domain.de.key.priv

smtp_tls_cert_file = domain.de.pfx
smtp_tls_key_file = domain.de.key.priv

domain.de.key.priv ist mein privater Key (dort steht auch drin "BEGIN RSA PRIVATE KEY) und in die domain.de.pfx ist eine Kombination aus Intermediate Zertifikat und der Datei die von Startssl signiert zurückgekommen ist.


gruß
Sebastian


Am 13.06.2016 um 11:24 schrieb Max Grobecker:
> Hi,
>
> hast du mal ein profanes
>
>    smtp_use_tls=yes
>
> hinzugefügt?
>
>
> Viele Grüße aus dem Tal
> Max
>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 5892 bytes
Beschreibung: nicht verfügbar
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20160614/1b7025ce/attachment.p7s>

Mehr Informationen über die Mailingliste Postfixbuch-users