[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[solved] Re: Exim - Zertifikatkette tut nicht



On 30.12.2014 21:14, Paul Muster wrote:

ich schaffe es nicht, Exim ein neues SSL/TLS-Zertifikat zu verpassen.

2014-12-30 20:10:44 TLS error on connection from <DNS-Name> [<IP>]
(gnutls_handshake): A TLS fatal alert has been received.

2014-12-30 20:56:06 TLS error on connection from <DNS-Name> [<IP>]
(gnutls_handshake): Decryption has failed.

Was klemmt da?

Liegt es womöglich an GnuTLS? Mal Exim mit OpenSSL kompilieren.

/etc/apt/sources.list:
deb-src http://<server>/debian/ wheezy main

# apt-get update
# apt-get build-dep exim4

(bringt all dies auf das System:
build-essential g++ g++-4.7 libdb5.1-dev libice-dev libident libident-dev libmysqlclient-dev libpam0g-dev libpcre3-dev libpcrecpp0 libperl-dev libpq-dev libpq5 libpthread-stubs0 libpthread-stubs0-dev libsasl2-dev libsm-dev libsqlite3-dev libstdc++6-4.7-dev libx11-dev libxau-dev libxaw7-dev libxcb1-dev libxdmcp-dev libxext-dev libxmu-dev libxmu-headers libxpm-dev libxt-dev x11proto-core-dev x11proto-input-dev x11proto-kb-dev x11proto-xext-dev xorg-sgml-doctools xsltproc xtrans-dev)

$ mkdir ~/Exim-kompilieren
$ cd ~/Exim-kompilieren
$ apt-get source exim4
$ cd Exim4-4.80

in debian/rules das # vor OpenSSL=1 entfernen, Zeile 90.

$ dpkg-buildpackage -rfakeroot -us -uc
[Kaffee trinken, weil Festplatte im Laptop lahm ist]

exim4-daemon-heavy_4.80-7+deb7u1_i386.deb auf den Server schieben und installieren.

Soo, OpenSSL bringt eine vernünftige Fehlermeldung:

2015-01-01 16:00:34 TLS error on connection from (<domain>) [<IP>] (SSL_CTX_use_PrivateKey_file file=/etc/ssl/private/key.pem): error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch

Gut, "key values mismatch". Einmal Keys und CSRs sortieren, neu durch die CA signieren lassen und - TADAAA! - alles gut.

Nun, wir wollten ja aber eigentlich mit dem Paketsystem arbeiten (und nicht daran vorbei), also mit dem Original-Debian-Exim, dem mit dem "tollen" GnuTLS. Ergebnis: Tut auch.

Endergebnis: GnuTLS = Dreckstool, weil es keine vernünftigen Fehlermeldungen wirft. Im Sonnenschein-Modus (keine Anwenderfehler) funktioniert es allerdings offenbar durchaus.


Danke für's Zuhören, einen guten Start ins neue Jahr & viele Grüße

Paul



Reply to: