Paul Muster <exp-311215@news.muster.net> (Di 30 Dez 2014 21:14:25 CET): > Guten Tag, > > ich schaffe es nicht, Exim ein neues SSL/TLS-Zertifikat zu verpassen. > > Bisher lief Exim einfach mit einem Server-Zertifikat, nun wird ein > Zwischen-CA-Zertifikat benötigt. Laut Doku soll man dieses einfach > hinter das Server-Zertifikat in die Datei reinkopieren. > > Gleichzeitig nutze ich die Gelegenheit, auf aktuelle Schlüssellängen > (CAs 4096 Bit, Server 2048 Bit) und Hash-Algorithmen (SHA256) zu > wechseln. Du hast im globalen Teil der Konfig tls_certificate = <Pfad zu Deinem Chain-Zertifikat> tls_privatekey = <Pfad zum entprechenden Key> eingetragen? Wie sehen die anderen TLS-relevanten Optionen im globalen Teil aus? Sind das selbstgebaute Zertifikate? Oder von einer offiziellen CA? Was passiert, wenn Du mit openssl eine Verbindung aufbaust: openssl s_client -connect -startls smtp <server>:<port> > 2014-12-30 20:10:44 TLS error on connection from <DNS-Name> [<IP>] > (gnutls_handshake): A TLS fatal alert has been received. Sonst keine zielführenden Hinweise im mailog des Exim? Die Files liest er nicht als root, sondern als Debian-Exim. > Und auch mit einem Outlook 2013 klappt es nicht: > > 2014-12-30 20:56:06 TLS error on connection from <DNS-Name> [<IP>] > (gnutls_handshake): Decryption has failed. > > Was klemmt da? > > > BTW: Dovecot hat dieselbe Zertifikatkette anstandslos genommen und > tut einfach. Ich weiss jetzt nicht, ob Dovecot auch gegen GnuTLS gelinkt ist, oder gegen OpenSSL, das macht manchmal kleine Unterschiede. -- Heiko
Attachment:
signature.asc
Description: Digital signature