letsencrypt postfix
Stefan Schwarz
stefan.schwarz at gmx.com
Mo Aug 14 17:24:43 CEST 2017
"smtpd_tls_cert_file" ist falsch, die fullchain enthält nicht den pubkey
sondern die intermediates.
smtpd_tls_cert_file= /etc/postfix/ZERT.crt
smtpd_tls_key_file= /etc/postfix/KEY.key
smtpd_tls_CAfile= /etc/postfix/INTERMEDIATES.fullchain
Am 14.08.2017 um 16:46 schrieb Günther J. Niederwimmer:
> Hallo Liste,
> Ich habe ein Problem mit meinen Postfixen ;-)
>
> Ich wollte meinen postfix auf ein Letsencrypt Zertifikat umstellen und stehe nun
> anscheinend im Wald.... ;-)
>
> Bevor ich umgestellt hatte, hat alles funktioniert ?
> welches File braucht postfix von letsencrypt "cert.pem, chain.pem,
> fullchain.pem"
>
> Aber eigentlich habe ich alle durchprobiert
>
> Es scheint irgend etwas mit den Zertifikaten zu sein ?
> 1: Könnt Ihr mir sagen was postfix voraussetzt, bei den Rechten. Ich finde
> wieder mal nichts darüber im Inet.
>
> 2: Jetzt nach der Umstellung bekomme ich solche Mails.
>
> Transcript of session follows.
>
> Out: 220 mx01.4gjn.com ESMTP Postfix
> In: EHLO www.example.com
> Out: 250-mx01.example.com
> Out: 250-PIPELINING
> Out: 250-SIZE 20480000
> Out: 250-VRFY
> Out: 250-ETRN
> Out: 250-STARTTLS
> Out: 250-ENHANCEDSTATUSCODES
> Out: 250-8BITMIME
> Out: 250 DSN
> In: STARTTLS
> Out: 454 4.7.0 TLS not available due to local problem
> In: MAIL FROM:<gjn+www at example.com> SIZE=419
> Out: 250 2.1.0 Ok
> In: RCPT TO:<gjn+www at example.com> ORCPT=rfc822;root at 4gjn.com
> Out: 450 4.7.1 Session encryption is required
> In: DATA
> Out: 554 5.5.1 Error: no valid recipients
> In: RSET
> Out: 250 2.0.0 Ok
> In: QUIT
> Out: 221 2.0.0 Bye
>
> der Client von dem die Mail kommt meint auch da fehlt das Zertifikat!!
>
> Aug 14 16:12:39 bbs postfix/smtp[4002]: warning: TLS library problem:
> 4002:error:20074002:BIO routines:FILE_CTRL:system lib:bss_file.c:400:
> Aug 14 16:12:39 bbs postfix/smtp[4002]: warning: TLS library problem:
> 4002:error:140DC002:SSL routines:SSL_CTX_use_certificate_chain_file:system
> lib:ssl_rsa.c:722:
> Aug 14 16:12:39 bbs postfix/smtp[4003]: warning: cannot get RSA certificate from
> file /etc/letsencrypt/live/www.4gjn.com/cert.pem: disabling TLS support
> Aug 14 16:12:39 bbs postfix/smtp[4003]: warning: TLS library problem:
> 4003:error:02001002:system library:fopen:No such file or directory:bss_file.c:
> 398:fopen('/etc/letsencrypt/live/www.4gjn.com/cert.pem','r'):
> Aug 14 16:12:39 bbs postfix/smtp[4003]: warning: TLS library problem:
> 4003:error:20074002:BIO routines:FILE_CTRL:system lib:bss_file.c:400:
> Aug 14 16:12:39 bbs postfix/smtp[4003]: warning: TLS library problem:
> 4003:error:140DC002:SSL routines:SSL_CTX_use
>
> Aug 14 16:12:39 bbs postfix/smtp[4003]: 58BB641676BB: host
> mx01.example.com[xxx.xxx.xxx.xxx] said: 450 4.7.1 Session encryption is
> required (in reply to RCPT TO command)
>
> Wo ist da der Wurm auf einmal drin ?
>
> ### TLS ######
> #
> ##
> smtpd_tls_auth_only = yes
> smtpd_use_tls = yes
> smtpd_tls_loglevel = 1
> smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3
> smtpd_tls_protocols = !SSLv2,!SSLv3
> smtpd_tls_received_header = yes
> #smtpd_tls_CApath = /etc/pki/certs
> #smtpd_tls_CAfile = /etc/pki/tls/certs.pem
>
> #smtpd_tls_cert_file = /etc/pki/tls/postfix/certs/post_cert.pem
> smtpd_tls_cert_file = /etc/letsencrypt/live/www.example.com/fullchain.pem
>
> #smtpd_tls_key_file = /etc/pki/tls/postfix/private/post_key.pem
> smtpd_tls_key_file = /etc/pki/tls/private/example.com.key
>
> smtpd_tls_security_level = may
> #smtpd_tls_dh512_param_file = /etc/pki/tls/private/dh_512.pem
> #smtpd_tls_dh1024_param_file = /etc/pki/tls/private/dh_2048.pem
> #smtpd_tls_eecdh_grade = ultra
>
> # TLS outgoing
> smtp_tls_security_level = may
> smtp_tls_loglevel = 1
> #smtp_tls_cert_file = /etc/letsencrypt/live/www.example.com/fullchain.pem
> #smtp_tls_key_file = /etc/pki/tls/private/example.com.key
>
> Übrigens der normale Mail Empfang funktioniert ??
>
Mehr Informationen über die Mailingliste Postfixbuch-users