Problem Postfix Zertifikate f. T-online immer noch ungelöst

12/03/2014 - 21:24 von Otto Mann | Report spam
Hallo allerseits,




Vorbemerkung: Slackware 13.1, Mailprogramm Pine/Alpine,
nur 1 user (ich), Einwahlverbindung ISDN zu T-online
Postfix wird als Client betrieben, da keine Weiterleitung
von anderen Servern vorgesehen.

Zertifikate funktionieren mit Fetchmail.
Es sind alle Verisign_Zertifikate in /etc/ssl/certs vorhanden.
Versuche mit selbstgebastelten waren auch nicht erfolgreich.
(natürlich c_rehash ausgeführt)

Bei unten angegebener Konfiguration sind die Zertifikate explizit,
gleiches Ergebnis wenn nur die Pfadangabe angegeben.


maillog

Mar 12 19:54:54 eistal3 postfix/smtp[3688]: warning: cannot get RSA
certificate from file
/etc/ssl/certs/Class_3_Public_Primary_Certification_Authority.pem:
disabling TLS support

Mar 12 19:54:54 eistal3 postfix/smtp[3688]: warning: TLS library
problem: 3688:error:0906D06C:PEM routines:PEM_read_bio:no start
line:pem_lib.c:650:Expecting: TRUSTED CERTIFICATE:

Mar 12 19:54:54 eistal3 postfix/smtp[3688]: warning: TLS library
problem: 3688:error:140DC009:SSL
routines:SSL_CTX_use_certificate_chain_file:PEM lib:ssl_rsa.c:729:

Mar 12 19:54:55 eistal3 postfix/smtp[3688]: B071912971B: TLS is
required, but our TLS engine is unavailable


postconf -n
smtp_sasl_type = cyrus
...
smtp_enforce_tls = yes
smtp_generic_maps = hash:/etc/postfix/generic
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_path = smtp
smtp_sasl_type = cyrus
smtp_tls_CApath = /etc/ssl/certs/
smtp_tls_cert_file =
/etc/ssl/certs/Class_3_Public_Primary_Certification_Authority.pem
smtp_tls_key_file = /etc/ssl/certs/securesmtp.t-online.de
...

Frage:

1. Welches Zertifikat brauche ich noch oder was fehlt?

2. Würde eigene Domàne mit Zertifikaten (z.B Host Europe) das Problem lösen?

Für Erleuchtung dankbar.

Gruß

Otto


49,6 N 008,1 E registered Linux user number 255739
 

Lesen sie die antworten

#1 Christian Winter
12/03/2014 - 22:19 | Warnen spam
Am 12.03.2014 21:24, schrieb Otto Mann:

Vorbemerkung: Slackware 13.1, Mailprogramm Pine/Alpine,
nur 1 user (ich), Einwahlverbindung ISDN zu T-online
Postfix wird als Client betrieben, da keine Weiterleitung
von anderen Servern vorgesehen.

Zertifikate funktionieren mit Fetchmail.
Es sind alle Verisign_Zertifikate in /etc/ssl/certs vorhanden.
Versuche mit selbstgebastelten waren auch nicht erfolgreich.
(natürlich c_rehash ausgeführt)

Bei unten angegebener Konfiguration sind die Zertifikate explizit,
gleiches Ergebnis wenn nur die Pfadangabe angegeben.


maillog

Mar 12 19:54:54 eistal3 postfix/smtp[3688]: warning: cannot get RSA
certificate from file
/etc/ssl/certs/Class_3_Public_Primary_Certification_Authority.pem:
disabling TLS support

Mar 12 19:54:54 eistal3 postfix/smtp[3688]: warning: TLS library
problem: 3688:error:0906D06C:PEM routines:PEM_read_bio:no start
line:pem_lib.c:650:Expecting: TRUSTED CERTIFICATE:

Mar 12 19:54:54 eistal3 postfix/smtp[3688]: warning: TLS library
problem: 3688:error:140DC009:SSL
routines:SSL_CTX_use_certificate_chain_file:PEM lib:ssl_rsa.c:729:

Mar 12 19:54:55 eistal3 postfix/smtp[3688]: B071912971B: TLS is
required, but our TLS engine is unavailable


postconf -n
smtp_sasl_type = cyrus
...
smtp_enforce_tls = yes
smtp_generic_maps = hash:/etc/postfix/generic
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_path = smtp
smtp_sasl_type = cyrus
smtp_tls_CApath = /etc/ssl/certs/



Das ist richtig. Eventuell noch einen c_rehash /etc/ssl/certs
ausführen.

smtp_tls_cert_file > /etc/ssl/certs/Class_3_Public_Primary_Certification_Authority.pem
smtp_tls_key_file = /etc/ssl/certs/securesmtp.t-online.de



Und die beiden willst du leer lassen. smtp_tls_cert_file definiert
das Zertifikat, mit dem *dein Rechner* sich beim Server authentifiziert.
In deinem Szenario authentifiziert sich aber der *Server* bei dir.
Die Postfix-Doku sagt nicht umsonst in
http://www.postfix.org/postconf.5.h..._cert_file

| Do not configure client certificates unless you must present client
| TLS certificates to one or more servers. Client certificates are not
| usually needed, and can cause problems in configurations that work
| well without them.

Frage:

1. Welches Zertifikat brauche ich noch oder was fehlt?



Was fehlt ist noch ein explizites
smtp_tls_security_level = encrypt
und bis das ganze mal làuft
smtp_tls_loglevel = 2

-Christian

Ähnliche fragen