Exim - Zertifikatkette tut nicht

30/12/2014 - 21:50 von Paul Muster | Report spam
Guten Tag,

ich schaffe es nicht, Exim ein neues SSL/TLS-Zertifikat zu verpassen.

Bisher lief Exim einfach mit einem Server-Zertifikat, nun wird ein
Zwischen-CA-Zertifikat benötigt. Laut Doku soll man dieses einfach
hinter das Server-Zertifikat in die Datei reinkopieren.

Gleichzeitig nutze ich die Gelegenheit, auf aktuelle Schlüssellàngen
(CAs 4096 Bit, Server 2048 Bit) und Hash-Algorithmen (SHA256) zu wechseln.

Das scheint auch zu funktionieren, der Dienst startet ohne
Fehlermeldung. Allerdings kann ich keine E-Mails einliefern von Icedove aus:

2014-12-30 20:10:44 TLS error on connection from <DNS-Name> [<IP>]
(gnutls_handshake): A TLS fatal alert has been received.

Und auch mit einem Outlook 2013 klappt es nicht:

2014-12-30 20:56:06 TLS error on connection from <DNS-Name> [<IP>]
(gnutls_handshake): Decryption has failed.

Was klemmt da?


BTW: Dovecot hat dieselbe Zertifikatkette anstandslos genommen und tut
einfach.


Danke & viele Grüße

Paul



Zum AUSTRAGEN schicken Sie eine Mail an debian-user-german-REQUEST@lists.debian.org
mit dem Subject "unsubscribe". Probleme? Mail an listmaster@lists.debian.org (engl)
Archive: https://lists.debian.org/1mdbnb-tj1.ln1@news.muster.net
 

Lesen sie die antworten

#1 Sven Hartge
30/12/2014 - 22:20 | Warnen spam
Paul Muster wrote:

ich schaffe es nicht, Exim ein neues SSL/TLS-Zertifikat zu verpassen.

Bisher lief Exim einfach mit einem Server-Zertifikat, nun wird ein
Zwischen-CA-Zertifikat benötigt. Laut Doku soll man dieses einfach
hinter das Server-Zertifikat in die Datei reinkopieren.

Gleichzeitig nutze ich die Gelegenheit, auf aktuelle Schlüssellàngen
(CAs 4096 Bit, Server 2048 Bit) und Hash-Algorithmen (SHA256) zu
wechseln.

Das scheint auch zu funktionieren, der Dienst startet ohne
Fehlermeldung. Allerdings kann ich keine E-Mails einliefern von Icedove aus:

2014-12-30 20:10:44 TLS error on connection from <DNS-Name> [<IP>]
(gnutls_handshake): A TLS fatal alert has been received.

Und auch mit einem Outlook 2013 klappt es nicht:

2014-12-30 20:56:06 TLS error on connection from <DNS-Name> [<IP>]
(gnutls_handshake): Decryption has failed.

Was klemmt da?



Gute Frage.

Ich nutze bei solchen Problemen immer erst einmal openssl als Client
direkt:

openssl s_client -CApath /etc/ssl/certs -starttls smtp -connect <DNS-Name>:587

(Oder "-starttls imap" und ":143", wenn du zum Klartext-IMAP-Port
verbinden willst. Sprichst du direkt SSL mit z.B. IMAP auf Port 993 oder
SMPT auf Port 465, dann fàllt das "-starttls imap" natürlich weg.)

Hier wàre dann die Ausgabe interessant.

Ebenso könntest du Exim einmal im Debugging-Modus ohne
Background-Forking starten und dann wieder via openssl die Verbindung
suchen und schauen, was er spricht.

Evtl. sind nur die Rechte zum Zertifikat und zum Key nicht korrekt? Hast
du die schon geprüft?



Sigmentation fault. Core dumped.


Zum AUSTRAGEN schicken Sie eine Mail an
mit dem Subject "unsubscribe". Probleme? Mail an (engl)
Archive: https://lists.debian.org/

Ähnliche fragen