[solved] Re: Exim - Zertifikatkette tut nicht
On 30.12.2014 21:14, Paul Muster wrote:
ich schaffe es nicht, Exim ein neues SSL/TLS-Zertifikat zu verpassen.
2014-12-30 20:10:44 TLS error on connection from <DNS-Name> [<IP>]
(gnutls_handshake): A TLS fatal alert has been received.
2014-12-30 20:56:06 TLS error on connection from <DNS-Name> [<IP>]
(gnutls_handshake): Decryption has failed.
Was klemmt da?
Liegt es womöglich an GnuTLS? Mal Exim mit OpenSSL kompilieren.
/etc/apt/sources.list:
deb-src http://<server>/debian/ wheezy main
# apt-get update
# apt-get build-dep exim4
(bringt all dies auf das System:
build-essential g++ g++-4.7 libdb5.1-dev libice-dev libident
libident-dev libmysqlclient-dev libpam0g-dev libpcre3-dev libpcrecpp0
libperl-dev libpq-dev libpq5 libpthread-stubs0 libpthread-stubs0-dev
libsasl2-dev libsm-dev libsqlite3-dev libstdc++6-4.7-dev
libx11-dev libxau-dev libxaw7-dev libxcb1-dev libxdmcp-dev
libxext-dev libxmu-dev libxmu-headers libxpm-dev libxt-dev
x11proto-core-dev x11proto-input-dev x11proto-kb-dev
x11proto-xext-dev xorg-sgml-doctools xsltproc xtrans-dev)
$ mkdir ~/Exim-kompilieren
$ cd ~/Exim-kompilieren
$ apt-get source exim4
$ cd Exim4-4.80
in debian/rules das # vor OpenSSL=1 entfernen, Zeile 90.
$ dpkg-buildpackage -rfakeroot -us -uc
[Kaffee trinken, weil Festplatte im Laptop lahm ist]
exim4-daemon-heavy_4.80-7+deb7u1_i386.deb auf den Server schieben und
installieren.
Soo, OpenSSL bringt eine vernünftige Fehlermeldung:
2015-01-01 16:00:34 TLS error on connection from (<domain>) [<IP>]
(SSL_CTX_use_PrivateKey_file file=/etc/ssl/private/key.pem):
error:0B080074:x509 certificate routines:X509_check_private_key:key
values mismatch
Gut, "key values mismatch". Einmal Keys und CSRs sortieren, neu durch
die CA signieren lassen und - TADAAA! - alles gut.
Nun, wir wollten ja aber eigentlich mit dem Paketsystem arbeiten (und
nicht daran vorbei), also mit dem Original-Debian-Exim, dem mit dem
"tollen" GnuTLS. Ergebnis: Tut auch.
Endergebnis: GnuTLS = Dreckstool, weil es keine vernünftigen
Fehlermeldungen wirft. Im Sonnenschein-Modus (keine Anwenderfehler)
funktioniert es allerdings offenbar durchaus.
Danke für's Zuhören, einen guten Start ins neue Jahr & viele Grüße
Paul
Reply to: