Paul Muster <exp-311215@news.muster.net> (Di 30 Dez 2014 21:14:25 CET):
> Guten Tag,
>
> ich schaffe es nicht, Exim ein neues SSL/TLS-Zertifikat zu verpassen.
>
> Bisher lief Exim einfach mit einem Server-Zertifikat, nun wird ein
> Zwischen-CA-Zertifikat benötigt. Laut Doku soll man dieses einfach
> hinter das Server-Zertifikat in die Datei reinkopieren.
>
> Gleichzeitig nutze ich die Gelegenheit, auf aktuelle Schlüssellängen
> (CAs 4096 Bit, Server 2048 Bit) und Hash-Algorithmen (SHA256) zu
> wechseln.
Du hast im globalen Teil der Konfig
tls_certificate = <Pfad zu Deinem Chain-Zertifikat>
tls_privatekey = <Pfad zum entprechenden Key>
eingetragen?
Wie sehen die anderen TLS-relevanten Optionen im globalen Teil aus?
Sind das selbstgebaute Zertifikate? Oder von einer offiziellen CA?
Was passiert, wenn Du mit openssl eine Verbindung aufbaust:
openssl s_client -connect -startls smtp <server>:<port>
> 2014-12-30 20:10:44 TLS error on connection from <DNS-Name> [<IP>]
> (gnutls_handshake): A TLS fatal alert has been received.
Sonst keine zielführenden Hinweise im mailog des Exim? Die Files liest
er nicht als root, sondern als Debian-Exim.
> Und auch mit einem Outlook 2013 klappt es nicht:
>
> 2014-12-30 20:56:06 TLS error on connection from <DNS-Name> [<IP>]
> (gnutls_handshake): Decryption has failed.
>
> Was klemmt da?
>
>
> BTW: Dovecot hat dieselbe Zertifikatkette anstandslos genommen und
> tut einfach.
Ich weiss jetzt nicht, ob Dovecot auch gegen GnuTLS gelinkt ist, oder
gegen OpenSSL, das macht manchmal kleine Unterschiede.
--
Heiko
Attachment:
signature.asc
Description: Digital signature