Re: Exim - Zertifikatkette tut nicht
Paul Muster <exp-311215@news.muster.net> wrote:
> ich schaffe es nicht, Exim ein neues SSL/TLS-Zertifikat zu verpassen.
> Bisher lief Exim einfach mit einem Server-Zertifikat, nun wird ein
> Zwischen-CA-Zertifikat benötigt. Laut Doku soll man dieses einfach
> hinter das Server-Zertifikat in die Datei reinkopieren.
> Gleichzeitig nutze ich die Gelegenheit, auf aktuelle Schlüssellängen
> (CAs 4096 Bit, Server 2048 Bit) und Hash-Algorithmen (SHA256) zu
> wechseln.
> Das scheint auch zu funktionieren, der Dienst startet ohne
> Fehlermeldung. Allerdings kann ich keine E-Mails einliefern von Icedove aus:
> 2014-12-30 20:10:44 TLS error on connection from <DNS-Name> [<IP>]
> (gnutls_handshake): A TLS fatal alert has been received.
> Und auch mit einem Outlook 2013 klappt es nicht:
> 2014-12-30 20:56:06 TLS error on connection from <DNS-Name> [<IP>]
> (gnutls_handshake): Decryption has failed.
> Was klemmt da?
Gute Frage.
Ich nutze bei solchen Problemen immer erst einmal openssl als Client
direkt:
openssl s_client -CApath /etc/ssl/certs -starttls smtp -connect <DNS-Name>:587
(Oder "-starttls imap" und ":143", wenn du zum Klartext-IMAP-Port
verbinden willst. Sprichst du direkt SSL mit z.B. IMAP auf Port 993 oder
SMPT auf Port 465, dann fällt das "-starttls imap" natürlich weg.)
Hier wäre dann die Ausgabe interessant.
Ebenso könntest du Exim einmal im Debugging-Modus ohne
Background-Forking starten und dann wieder via openssl die Verbindung
suchen und schauen, was er spricht.
Evtl. sind nur die Rechte zum Zertifikat und zum Key nicht korrekt? Hast
du die schon geprüft?
S°
--
Sigmentation fault. Core dumped.
Reply to: