weholei
Anmeldungsdatum: 7. Februar 2019
Beiträge: 747
Wohnort: Mittelfranken
|
Ich poste mal hier, wenn es falsch ist, bitte verschieben. Ein Raspi 4 soll ein Raspi 3, dessen System (Raspibion, Debian 9 oder 10 ??) keine Updates mehr erhält, ablösen. Dass das wegen inzwischen erfolgten Änderungen nie reibungslos abläuft, ist für mich nichts neues, das fängt mit samba an und hört bei syslog noch lange nicht auf. Im Moment komme ich beim Mailsystem nicht mehr weiter. Dovecot habe ich neu aufgesetzt und die Datei (zertifikate ?) der alten Installation ssl-cert-snakeoil.key nach /etc/ssl/private kopiert ebenso die Datei unter /etc/ssl Thunderbird auf Ubuntu 22.04 akzeptiert das aber nicht, zumindest deutet die Fehlermeldung des Dovecot.log auf dem Dovecot Server darauf hin Nov 16 22:06:36 imap-login: Info: Disconnected: Connection closed: SSL_accept() failed: error:0A000412:SSL routines::sslv3 alert bad certificate: SSL alert number 42 (no auth attempts in 0 secs): user=<>, rip=87.162.49.247, lip=192.168.2.53, TLS handshaking: SSL_accept() failed: error:0A000412:SSL routines::sslv3 alert bad certificate: SSL alert number 42, session=<XtEuZUsKzLhXojH3>
Kann jemand etwas mit der Fehlermeldung anfangen? erstaunlicherweise scheint meine App auf dem Mobilphon "FairEmail" keine Probleme damit zu haben. Wenn ich lokal mit TB probiere, kommt die gleiche Fehlermeldung Nov 16 22:28:31 imap-login: Info: Disconnected: Connection closed: SSL_accept() failed: error:0A000412:SSL routines::sslv3 alert bad certificate: SSL alert number 42 (no auth attempts in 0 secs): user=<>, rip=192.168.2.40, lip=192.168.2.53, TLS handshaking: SSL_accept() failed: error:0A000412:SSL routines::sslv3 alert bad certificate: SSL alert number 42, session=<xumJs0sKnsDAqAIo>
Moderiert von Thomas_Do: Thema in einen passenden Forenbereich verschoben. Bitte beachte die als wichtig markierten Themen („Welche Themen gehören hier her und welche nicht?“) in jedem Forenbereich. Danke.
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 14148
|
weholei schrieb: Dovecot habe ich neu aufgesetzt und die Datei (zertifikate ?) der alten Installation ssl-cert-snakeoil.key nach /etc/ssl/private kopiert ebenso die Datei unter /etc/ssl Thunderbird auf Ubuntu 22.04 akzeptiert das aber nicht, zumindest deutet die Fehlermeldung des Dovecot.log auf dem Dovecot Server darauf hin
Siehe: https://unix.stackexchange.com/questions/123367/thunderbird-fails-to-connect-to-dovecot-and-postfix
|
weholei
(Themenstarter)
Anmeldungsdatum: 7. Februar 2019
Beiträge: 747
Wohnort: Mittelfranken
|
Danke, das könnte zutreffen - tuts aber leider nicht Nov 16 23:35:02 imap-login: Info: Disconnected: Connection closed: SSL_accept() failed: error:0A000412:SSL routines::sslv3 alert bad certificate: SSL alert number 42 (no auth attempts in 0 secs): user=<>, '''rip=192.168.2.40, lip=192.168.2.53,''' TLS handshaking: SSL_accept() failed: error:0A000412:SSL routines::sslv3 alert bad certificate: SSL alert number 42, session=<Ee90oUwKjOLAqAIo> den Account habe ich in TB gelöscht, neu angelegt, auf localer ip, hat nichts gebracht Normalerweise, wenn die Verbindung klappt, beschwert sich TB über ein selbst signiertes Zertifikat, das man dann akzeptieren kann. Jetzt lehnt er mich schon vorher schon ab und übergibt/erkennt keinen user Namen Das werde ich mir morgen mal in Ruhe durchtesten und lesen, viel lesen Evolution ist da toleranter, meckert zwar auch über das Zertifikat Die signierende Zertifizierungsstelle ist unbekannt.
Das Zertifikat entspricht nicht der erwarteten Identität der Seite, von der es bezogen wurde. aber lässt mich rein Nov 16 23:44:57 imap-login: Info: Login: user=<weholei>, method=PLAIN, rip=192.168.2.40, lip=192.168.2.53, mpid=3078, TLS, session=<4VXmxEwK5KXAqAIo> PS: du postest schneller als ich lesen kann 😉
|
weholei
(Themenstarter)
Anmeldungsdatum: 7. Februar 2019
Beiträge: 747
Wohnort: Mittelfranken
|
Ich habe jetzt einmal diese Seite im Netz gefunden, was genau mein Problem beschreibt https://bugs.launchpad.net/ubuntu/+source/thunderbird/+bug/1992271 Bedeutet das, ich kann mein Projekt vergessen? Zwar heißt es hier Self-signed certificates in Mozilla Thunderbird
ISYNC.IO
https://isync.io › knowledgebase
·
Diese Seite übersetzen
In Mozilla Thunderbird, go to Tools > Options > Advanced > tab Certificates. · Click on View Certificates and go to tab Servers. · Click on Add Exception. · Enter ... Den Menuepunkt tools finde ich, aber den "options" nicht - oder stelle ich mich mal wieder zu dumm an?
|
weholei
(Themenstarter)
Anmeldungsdatum: 7. Februar 2019
Beiträge: 747
Wohnort: Mittelfranken
|
hallo Lubux hast Du geschaut, von wann der Beitrag war?
Asked 9 years, 7 months ago
Modified 5 months ago
Viewed 43k times Da war die Welt auch noch in Ordnung und ich musste mir kein Visa besorgen, um in mein Badezimmer zu gehen 😉
|
kB
Supporter, Wikiteam
Anmeldungsdatum: 4. Oktober 2007
Beiträge: 9046
Wohnort: Münster
|
Es geht nicht um RPi, also Titel verfehlt. Es geht auch nicht um Netzwerkkonfiguration, also falsches Forum. Du willst irgend etwas mit dovecot, Thunderburd und SSL-Zertifikaten machen, alles andere bleibt im Dunkeln. Bitte beschreibe doch mal, was Du eigentlich erreichen willst!
|
weholei
(Themenstarter)
Anmeldungsdatum: 7. Februar 2019
Beiträge: 747
Wohnort: Mittelfranken
|
Ein letzter Versuch, ein Problem zu lösen, das offenbar nur wenige haben, anders formuliert https://forum.ubuntuusers.de/topic/raspi-4-soll-server-mit-raspi-3-abloesen/ und https://debianforum.de/forum/viewtopic.php?t=188380 bevor ich es frustriert zu den Akten lege.
Moderiert von sebix: An bestehenden Thread angehängt. Bitte erstelle keine Doppelpostings.
|
weholei
(Themenstarter)
Anmeldungsdatum: 7. Februar 2019
Beiträge: 747
Wohnort: Mittelfranken
|
Bitte beschreibe doch mal, was Du eigentlich erreichen willst!
Ach Kb Ich fürchte, das hat wenig Sinn Ich möchte ein 20 Jahre altes Mailsystem am Laufen halten – und ihr versteht "drey in an weggla"
|
Thomas_Do
Moderator
Anmeldungsdatum: 24. November 2009
Beiträge: 8755
|
weholei schrieb: Ich möchte ein 20 Jahre altes Mailsystem am Laufen halten
Dann gib bitte ein paar mehr Infos zu dem Mailserver. Ist der über das Internet erreichbar oder nur im LAN? Welche Art von Zertifikat hast Du denn bisher benutzt. Nur die defaut snakeoil-Zertifikate?
|
weholei
(Themenstarter)
Anmeldungsdatum: 7. Februar 2019
Beiträge: 747
Wohnort: Mittelfranken
|
Ist der über das Internet erreichbar oder nur im LAN?
Naja, über DYN-DNS wäre schon wünschenswert Aber es geht ja nicht mal übers Lan Nur die defaut snakeoil-Zertifikate?
klar, für eines über lets-encrypt bräuchte ich eine eigene Domain, habe aber nur eine "Webpage" bei der Telekom Das perfide ist, wenn ich etwas an der funktionierenden (thunderbird) Konfiguration ändere, meldet der dovecot.log das: Nov 21 07:40:57 imap-login: Info: Disconnected: Connection closed: SSL_accept() failed: error:0A000412:SSL routines::sslv3 alert bad certificate: SSL alert number 42 (no auth attempts in 0 secs): user=<>, rip=192.168.2.40, lip=192.168.2.35, TLS handshaking: SSL_accept() failed: error:0A000412:SSL routines::sslv3 alert bad certificate: SSL alert number 42, session=<aX2O4qMK4oHAqAIo>
wenn ich mich aber auf dem (dovecot) Server mit einem Testuser einlogge: testuser@raspi-u4:/ $ openssl s_client -connect 192.168.2.35:999
CONNECTED(00000003)
Can't use SSL_get_servername
depth=0 CN = arm-build.pitowers.org
verify return:1
---
Certificate chain
0 s:CN = arm-build.pitowers.org
i:CN = arm-build.pitowers.org
a:PKEY: rsaEncryption, 2048 (bit); sigalg: RSA-SHA256
v:NotBefore: Oct 10 00:16:22 2023 GMT; NotAfter: Oct 7 00:16:22 2033 GMT
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=CN = arm-build.pitowers.org
issuer=CN = arm-build.pitowers.org
---
No client certificate CA names sent
Peer signing digest: SHA256
Peer signature type: RSA-PSS
Server Temp Key: X25519, 253 bits
---
SSL handshake has read 1359 bytes and written 377 bytes
Verification: OK
---
New, TLSv1.3, Cipher is TLS_AES_256_GCM_SHA384
S meldet sich der Server (dovecot) mit Protokoll TLSv1.3
bitte ein paar mehr Infos zu dem Mailserver.
Was brauchst du für Infos? >> dovecot, frisch vom Händler ☺ der ssl handshake geht, einloggen kann ich mich auch Post-Handshake New Session Ticket arrived:
da kommt noch eine ganze Menge sumsens um das mich zu kümmern, ich bisher noch nicht nötig hatte. ./. edit Btw: Ich habe eine altes Mint_19.3 gestartet, mit TB 68.10.0(64bit) damit kann man sich am neuen dovecot einloggen
|
kB
Supporter, Wikiteam
Anmeldungsdatum: 4. Oktober 2007
Beiträge: 9046
Wohnort: Münster
|
weholei schrieb: […]
wenn ich mich aber auf dem (dovecot) Server mit einem Testuser einlogge: testuser@raspi-u4:/ $ openssl s_client -connect 192.168.2.35:999
CONNECTED(00000003)
Can't use SSL_get_servername
Erster Fehler: Für TLS ist das erforderlich.
[…]
No client certificate CA names sent
Zweiter Fehler: Der Client sollte das tun.
[…]
New, TLSv1.3, Cipher is TLS_AES_256_GCM_SHA384
Dritter Fehler: Für TLSv1.3 müssen Zertifikate im DNS-System hinterlegt werden.
meldet sich der Server (dovecot) mit Protokoll TLSv1.3
Das überfordert Dein DNS-Konzept (keine eigene Domain). In neueren Servern und Browsern wurde TLSv1.1 und frühere abgeschaltet. Benutze also TLSv1.2, was ältere Software ggf. noch nicht kann. Aber Du willst es ja neu aufsetzen.
|
weholei
(Themenstarter)
Anmeldungsdatum: 7. Februar 2019
Beiträge: 747
Wohnort: Mittelfranken
|
Hallo KB Ich freue mich sehr über Deine Hilfe Dann fangen wir mal mit Fehlerbeseitigung an:
Can't use SSL_get_servername
Erster Fehler: Für TLS ist das erforderlich.
wie kann ich das beheben? Auch wenn ich inzwischen der Meinung bin, das die Fehlermeldung von Tunderbird kommt, möchte ich, wenn ich neu aufsetze, es gleich richtig machen.
|
kB
Supporter, Wikiteam
Anmeldungsdatum: 4. Oktober 2007
Beiträge: 9046
Wohnort: Münster
|
weholei schrieb: […] wie kann ich das beheben?
Du musst Dich über TLS schlau machen, wenn Du es einrichten willst. Du musst ein für TLSv1.2 geeignetes SSL-Zertifikat erzeugen. Dazu sind die Einschränkungen hinsichtlich Kryptoalgorithmen und Schlüssellängen zu beachten, welche TLSv1.2 macht. Du musst den Dovecat-Server so konfigurieren, dass er Dein selbst signiertes SSL-Zertifikat benutzt und nur TLSv1.2 anbietet, aber kein TLSv1.3 aushandelt. Du musst Dein selbst signiertes SSL-Zertifikat in den E-Mail-Client importieren.
|
Newubunti
Anmeldungsdatum: 16. Februar 2008
Beiträge: 5139
|
Hallo, bei einem Server der schon einige Jährchen auf dem Buckel hat, so dass die Konfigurations-Datei halt schon über Jahre von Version zu Version geschleift wird, liegt die Vermutung nahe, dass da mit dem Versionssprung von dem Du aktuell betroffen bist, eine bisher funktionierende Option nun von der neuen Version gänzlich nicht mehr unterstützt wird. Ich meine mich sogar dunkel erinnern zu könne, dass ich so ein Problem bezüglich TLS im weiteren Sinne, nicht zwangsläufig exakt das gleiche Problem wie hier, bei einem Bekannten auch beheben musste, indem man ein paar Optionen aktualisieren musste. Ich meine dass das bei einem Wechsel von Debian 9 auf Debian 10 und der entsprechend dahinterstehenden Dovecot-Version war. Bei so einem Problem schaue ich dann immer auf die konkrete Service-Version - also in dem Falle dovecot - und guck mir die Release-Notes dazu an. Auch meine ich mich daran erinnern zu können, dass dovecot damals selbst auf die veralteten Optionen in der bestehende Konfig hingewiesen hat. Ob das im Rahmen des Systemupgrades oder von systemctl status ... oder sonst einem Log war, weiß ich jetzt nicht mehr genau. Und wie gesagt, das ist eine ziemliche graue Erinnerung! Ich würde mich kB anschließen wollen und die bestehende Konfig mal in Richtung Cipher- und TLS-Protokoll-Einstellungen überprüfen. LG,
Newubunti
|