fauxxami
Anmeldungsdatum: 7. Januar 2012
Beiträge: 493
|
Hallo zusammen, ich besitze ein bei RapidSSL gekauftes SSL-Zerifikat für meine Maildomain, bekomme aber weder Dovecot noch Postfix dazu, es korrekt zu benutzen. Das Problem ist vermutlich das erforderliche "Intermediate Certificate" von RapidSSL, von dem ich nicht so genau weiß, wo ich es hinpacken soll. Die Installationsanleitungen von RapidSSL beziehen sich leider nur auf Websersver, und was ich sonst im Netz so gefunden habe, hat mir nicht so recht weitergeholfen. Ich bin nun im Besitz
Kennt sich hier jemand mit verketteten SSL-Zertifikaten aus und kann mir sagen, wie ich die zusammen mit Dovecot und Postfix zum Funktionieren bringe? Danke und viele Grüße, Jürgen
|
encbladexp
Ehemaliger
Anmeldungsdatum: 16. Februar 2007
Beiträge: 17442
|
man 5 postconf Da siehst du dann folgende Optionen smtpd_tls_CAfile und auch smtpd_tls_CApath. Grundlegend kannst du die CA.crt und das intermediate einfach in eine Datei hauen und behaupten "Das ist meine CA.crt", das schlucken alle gängigen Anwendungen dann auch so. mfg Stefan Betz
|
fauxxami
(Themenstarter)
Anmeldungsdatum: 7. Januar 2012
Beiträge: 493
|
Da siehst du dann folgende Optionen smtpd_tls_CAfile und auch smtpd_tls_CApath. Grundlegend kannst du die CA.crt und das intermediate einfach in eine Datei hauen ...
Ja, die Optionen habe ich tatsächlich gesehen - aber wirklich verstanden habe ich es wohl immer noch nicht. Sorry für die lange Leitung. Mit CA.crt meinst du mein gekauftes Zertifikat? Falls nicht: magst du mir das noch mal etwas ausführlicher erklären? Ich wäre dir sehr dankbar.
|
encbladexp
Ehemaliger
Anmeldungsdatum: 16. Februar 2007
Beiträge: 17442
|
Grundlegend ist die Frage ob du überhaupt einen Server betreiben willst. Dein Cert besteht im wesentlichen aus 3 Teilen:
Public Key ▶ Gehört zu deiner Domain, wird öffentlich rausgehauen bei jeder Anfrage. Private Key ▶ Gehört zu deiner Domain, dient zur Entschlüsselung (grundlegend) Public Key der CA ▶ Hinweis darauf wer deinen Public Key signiert hat, wird vom Browser/Mailclient benötigt um zu prüfen ob das Ding den brauchbar signiert ist.
CA.crt ist also das was ich unter dem Cert von der CA verstehe, der Rest ist einfach z.B. my.crt und my.key, wobei das Namen sind die man sich eh selbst aussuchen könnte. Sind alles nur Dateien auf einem Server 😉 mfg Stefan Betz
|
fauxxami
(Themenstarter)
Anmeldungsdatum: 7. Januar 2012
Beiträge: 493
|
Hm, da habe ich mich wohl missverständlich ausgedrückt. Im Grundsatz ist mir die SSL-Verschlüsselung schon klar; meine Server laufen seit mehreren Jahren - Apache z.B. habe ich auch mit "intermediate certificate" zum Laufen gebracht, nur gelingt mir das bei Dovecot und Postfix eben nicht.
|
encbladexp
Ehemaliger
Anmeldungsdatum: 16. Februar 2007
Beiträge: 17442
|
Dort ist es ähnlich, notfalls eben einfach das CA Cert und das Intermediate zu einer Datei zusammenfassen, der Rest ist identisch zum Apache. mfg Stefan Betz
|
fauxxami
(Themenstarter)
Anmeldungsdatum: 7. Januar 2012
Beiträge: 493
|
Ok, dann muss bei der Generierung des Mailserver-Zertifikats etwas schiefgelaufen sein, denn ich habe es genau wie beim Apache versucht und es klappt nicht. Ich werde mal den RapidSSL-Support bemühen. Danke für die Hilfe!
|
mandrake1988
Anmeldungsdatum: 25. Dezember 2008
Beiträge: Zähle...
Wohnort: Berlin
|
Hallo, ich hatte zu Beginn mit Postfix und Dovecot auch ein paar Problemchen - vor allem weil die Infos gut versteckt waren. Am Ende war es dann doch recht einfach: Für beide Dienste nutze ich das gleiche Zertifikat, den gleichen Schlüssel und das gleiche CA- Zertifikat (in meinem Fall Startcom) - geparkt habe ich die unter etc/postfix/ als "smtpd.cert" (mein Zertifikat), "smtpd.key" (der private Schlüssel OHNE Passwortschutz) und "startcom.cert" (das Intermediate- Zertifikat). Der Speicherort ist letztendlich natürlich dir überlassen 😉 Im Postfix (/etc/postfix/main.cf) sind bei mir folgende Optionen gesetzt: smtpd_tls_cert_file = /etc/postfix/smtpd.cert
smtpd_tls_key_file = /etc/postfix/smtpd.key
smtpd_tls_CAfile = /etc/postfix/startcom.cert Für Dovecot (/etc/dovecot/dovecot.conf): ssl_cert = </etc/postfix/smtpd.cert
ssl_key = </etc/postfix/smtpd.key
ssl_ca = </etc/postfix/startcom.cert So funktioniert hier alles tadellos, so lange in den Einstellungen der Mailprogramme als Serveradresse auch jene angegeben wird, die im Zertifikat hinterlegt ist. Hoffe das hilft dir noch ein wenig. Grüße,
mandrake
|
fauxxami
(Themenstarter)
Anmeldungsdatum: 7. Januar 2012
Beiträge: 493
|
Hurra, auf genau so eine Erklärung habe ich gehofft, DANKE! Ich werde das gleich heute Abend ausprobieren - klasse. ☺
|
fauxxami
(Themenstarter)
Anmeldungsdatum: 7. Januar 2012
Beiträge: 493
|
So, nachdem ich die Anleitung von mandrake1988 leider erfolglos ausprobiert habe, bin ich erst einmal frustriert in den Osteurlaub geflogen ... nun aber wieder daheim nehme ich den Faden noch mal auf:
smtpd_tls_CAfile = /etc/postfix/startcom.cert
Ich erinnerte mich daran, diese Lösung auch früher schon einmal probiert zu haben, nur wie gesagt leider ohne Erfolg. Ich habe nun auch noch mal in die Doku zu dieser Option geschaut: # PEM encoded trusted certificate authority. Set this only if you intend to use
# ssl_verify_client_cert=yes. Und bei ssl_verifiy_client_cert findet sich # Request client to send a certificate. Aber das will ich doch gar nicht, wenn ich den Vorgang richtig verstehe. mandrake1988, hast du deinen Mailserver mal mit dieser Seite getestet und steht die Vertrauenskette bei dir wirklich? Viele Grüße, Jürgen
|
encbladexp
Ehemaliger
Anmeldungsdatum: 16. Februar 2007
Beiträge: 17442
|
smtpd_tls_CAfile = /etc/ssl/certs/startcom.pem
smtpd_tls_cert_file = /etc/ssl/certs/2014.crt
smtpd_tls_key_file = /etc/ssl/private/2014.key
smtpd_use_tls = yes Das habe ich bei mir am Postfix, mit einem StartCom Cert, aktiv. Die startcom.pem ist nichts anderes wie nacheinander das Cert von StartCom und das Intermediate rangepappt in einer Datei. mfg Stefan Betz
|
mandrake1988
Anmeldungsdatum: 25. Dezember 2008
Beiträge: 68
Wohnort: Berlin
|
fauxxami schrieb: # PEM encoded trusted certificate authority. Set this only if you intend to use
# ssl_verify_client_cert=yes. Und bei ssl_verifiy_client_cert findet sich # Request client to send a certificate. ... mandrake1988, hast du deinen Mailserver mal mit dieser Seite getestet und steht die Vertrauenskette bei dir wirklich?
Hi, du hast tatsächlich recht, smtpd_tls_CAfile gibt Postfix CAs an die Hand, die er als vertrauenswürdig annehmen soll wenn andere Mailserver sich mit deren Zertifikaten verbinden. Aus der Postfix TLS-Readme[1]:
If you want the Postfix SMTP server to accept remote SMTP client certificates issued by one or more root CAs, append the root certificate to $smtpd_tls_CAfile or install it in the $smtpd_tls_CApath directory.
Man lernt nie aus, der Eintrag bringt also bei deinem Problem nichts. Mir fällt aber gerade noch auf: Bei mir liegt das Root- und das Intermediate- Zertifikat noch an einem anderen Ort. Nämlich als Kette mit in der unter smtpd_tls_cert_file angegebenen Datei. Die enthält alle 3 Zertifikate in der Reihenfolge Server-Zertifikat > Intermediate-CA > Root-CA. Vielleicht ist es das? Btw: Die Seite kannte ich noch nicht - danke für den Tipp! Hier ist in meinem Fall aber alles wie erwartet. Er mag nur das Root-CA-Zertifikat nicht, da ich inzwischen kein Startcom-Zertifikat mehr nutze - die Kette ist allerdings komplett richtig. Grüße, mandrake
[1] http://www.postfix.org/TLS_README.html
|
fauxxami
(Themenstarter)
Anmeldungsdatum: 7. Januar 2012
Beiträge: 493
|
Hallo Stefan, hallo mandrake! Ich bin nun einen halben Schritt weiter: mit den drei von Stefan angegebenen Dateien sagt der SSL-Check, dass mein Mailserver über eine sichere Verbindung erreichbar sei. Zumindest für eingehende Mails wird auch die Zertifikatskette korrekt ausgewiesen. Teste ich dann aber auch ausgehende Mails durch Versenden einer Mail an check@ssl-tools.net, so weist mir die Testseite anschließend die Meldung Unsicher - nicht verschlüsselt aus. Irgendwo hakt da also immer noch was. Habt ihr vielleicht noch eine Idee? Österliche Grüße, Jürgen
|
encbladexp
Ehemaliger
Anmeldungsdatum: 16. Februar 2007
Beiträge: 17442
|
Du musst Unterscheiden zwischen smtpd für eingehende Mails, und smtp für ausgehende Mails. Für ausgehende Mails gibt es also extra Einstellungen die man aktivieren kann und muss wenn man Verschlüsselung dafür nutzen möchte. mfg Stefan Betz
|
fauxxami
(Themenstarter)
Anmeldungsdatum: 7. Januar 2012
Beiträge: 493
|
Ok, vielen Dank - ich werde mich da mal etwas tiefer einlesen. Ich setze diesen Thread auf gelöst, weil das eigentliche Problem ja vom Tisch ist. Viele Grüße, Jürgen
|