Re: Exim - Zertifikatkette tut nicht

To: debian-user-german@lists.debian.org
Subject: Re: Exim - Zertifikatkette tut nicht
From: Paul Muster <exp-311215@news.muster.net>
Date: Tue, 30 Dec 2014 23:12:06 +0100
Message-id: <[🔎] mikbnb-oj6.ln1@news.muster.net>
Reply-to: reply-to@news.muster.net
In-reply-to: <[🔎] 1b91olf39bv8@mids.svenhartge.de>
References: <[🔎] 1mdbnb-tj1.ln1@news.muster.net> <[🔎] 1b91olf39bv8@mids.svenhartge.de>

On 30.12.2014 22:05, Sven Hartge wrote:

Bisher lief Exim einfach mit einem Server-Zertifikat, nun wird ein
Zwischen-CA-Zertifikat benötigt. Laut Doku soll man dieses einfach
hinter das Server-Zertifikat in die Datei reinkopieren.

Das scheint auch zu funktionieren, der Dienst startet ohne
Fehlermeldung. Allerdings kann ich keine E-Mails einliefern von Icedove aus:

2014-12-30 20:10:44 TLS error on connection from <DNS-Name> [<IP>]
(gnutls_handshake): A TLS fatal alert has been received.

Und auch mit einem Outlook 2013 klappt es nicht:

2014-12-30 20:56:06 TLS error on connection from <DNS-Name> [<IP>]
(gnutls_handshake): Decryption has failed.

Gute Frage.


;-) Schlechte Fragen versuche ich zu vermeiden.

Ich nutze bei solchen Problemen immer erst einmal openssl als Client
direkt:

  openssl s_client -CApath /etc/ssl/certs -starttls smtp -connect <DNS-Name>:587

Das -CApath lasse ich weg, denn das RootCA-Zertifikat ist dem Systembekannt.

Hier wäre dann die Ausgabe interessant.


Siehe bitte Posting nebenan zur Ausgabe.

Ebenso könntest du Exim einmal im Debugging-Modus ohne
Background-Forking starten und dann wieder via openssl die Verbindung
suchen und schauen, was er spricht.


# exim4 -d-all+tls -bdf -oX 587

[...]
23307 Listening...

Dann Zugriff wie oben beschrieben mit s_client, ergibt:

23307 Connection request from <IP> port <Port>
23307 1 SMTP accept process running
23307 Listening...
23319 Process 23319 is handling incoming connection from [<IP>]
23319 Process 23319 is ready for new message
23319 initialising GnuTLS as a server
23319 GnuTLS global init required.
23319 initialising GnuTLS server session
23319 Expanding various TLS configuration options for session credentials.
23319 certificate file = /etc/<pfad>/cert.pem
23319 key file = /etc/<pfad>/key.pem
23319 TLS: cert/key registered
23319 verify certificates = /etc/ssl/certs/ca-certificates.crt size=275039
23319 Added 173 certificate authorities.
23319 Initialising GnuTLS server params.
23319 Loading default hard-coded DH params
23319 Loaded fixed standard D-H parameters
23319 GnuTLS using default session cipher/priority "NORMAL"
23319 TLS: a client certificate will not be requested.
23319 TLS: no SNI presented in handshake.
23319 LOG: MAIN

23319 TLS error on connection from <DNS-Name> (openssl.client.net)[<IP>] (gnutls_handshake): A TLS fatal alert has been received.

23319 TLS failed to start
23319 LOG: smtp_connection MAIN

23319 SMTP connection from <DNS-Name> (openssl.client.net) [<IP>]closed by EOF

23307 child 23319 ended: status=0x0
23307   normal exit, 0
23307 0 SMTP accept processes now running
23307 Listening...

Hmm, nicht so sonderlich aussagekräftig, oder?

Evtl. sind nur die Rechte zum Zertifikat und zum Key nicht korrekt? Hast
du die schon geprüft?

Jepp, die passen. Beim obigen Versuch mittels s_client kommen ja auchdie richtigen (neuen) Zertifikate beim Client an.



Danke für die schnelle Hilfe & viele Grüße

Paul

Reply to:

Follow-Ups:
- Re: Exim - Zertifikatkette tut nicht
  - From: Paul Muster <exp-311215@news.muster.net>

References:
- Exim - Zertifikatkette tut nicht
  - From: Paul Muster <exp-311215@news.muster.net>
- Re: Exim - Zertifikatkette tut nicht
  - From: Sven Hartge <sven@svenhartge.de>

Prev by Date: Re: Exim - Zertifikatkette tut nicht
Next by Date: Re: iwl 3854 could not read microcode -12
Previous by thread: Re: Exim - Zertifikatkette tut nicht
Next by thread: Re: Exim - Zertifikatkette tut nicht
Index(es):
- Date
- Thread