Wildcard Zertifikat wo und vor allem WIE nutzen?
Wildcard Zertifikat wo und vor allem WIE nutzen?
Hallo,
also ich habe zu meiner Domain ein Wildcard Zertifikat. Nun dachte ich mir das ich dieses für mehrere Dienste nutze, nur weis ich nicht so ganz wie.
Also ich habe bisher immer selbst Zertifikate erstellt, das einfügen war kein Problem, jedoch habe ich jetzt ein Zertifikat was aus vielen Teilen besteht. Intermed. ca bundle, root.crt, certificate.crt usw pkcs7 und und. Muss ich mir daraus nun immer das passende Zertifikat für den Dienst "bauen"? Also eine pem oder crt oder wie auch immer erstellen? Ich habe das Zertifikat von PSW, es handelt sich um das Wildcard Lite.
Ich will dieses Wildcard Zertifikat nutzen für, FTP, SMTP, POP3s, IMAPs, apache2 und zwar für alle subdomains. Geht das alles mit dem einen Zertifikat?
Dann, wie mache ich das, dass jede subdomain "woanders" landet aber ssl gesichert bleibt? Also ich kann in der httpd.conf ja virtuelle hosts angeben aber geht das auch mit ssl?
Achso, und kann ich mit dem Zertifikat auch SSL nutzen? Also SSL und nicht StartTLS? Bei IMAP oder POP oder SMTP?
Ich hoffe das ist soweit verständlich.
Danke euch schonmal.
also ich habe zu meiner Domain ein Wildcard Zertifikat. Nun dachte ich mir das ich dieses für mehrere Dienste nutze, nur weis ich nicht so ganz wie.
Also ich habe bisher immer selbst Zertifikate erstellt, das einfügen war kein Problem, jedoch habe ich jetzt ein Zertifikat was aus vielen Teilen besteht. Intermed. ca bundle, root.crt, certificate.crt usw pkcs7 und und. Muss ich mir daraus nun immer das passende Zertifikat für den Dienst "bauen"? Also eine pem oder crt oder wie auch immer erstellen? Ich habe das Zertifikat von PSW, es handelt sich um das Wildcard Lite.
Ich will dieses Wildcard Zertifikat nutzen für, FTP, SMTP, POP3s, IMAPs, apache2 und zwar für alle subdomains. Geht das alles mit dem einen Zertifikat?
Dann, wie mache ich das, dass jede subdomain "woanders" landet aber ssl gesichert bleibt? Also ich kann in der httpd.conf ja virtuelle hosts angeben aber geht das auch mit ssl?
Achso, und kann ich mit dem Zertifikat auch SSL nutzen? Also SSL und nicht StartTLS? Bei IMAP oder POP oder SMTP?
Ich hoffe das ist soweit verständlich.
Danke euch schonmal.
Re: Wildcard Zertifikat wo und vor allem WIE nutzen?
Meistens brauchst du im Linux-Umfeld Zertifikate und Keys im PEM-Format. Das dürfte in deinem Fall das certificate.crt sein. Dazu liefert man noch das Intermediate mit aus. Das root.crt sollte im Client vorhanden sein, und wird daher nicht vom Server mitgeliefert.dmant hat geschrieben:09.10.2017 16:59:28Also ich habe bisher immer selbst Zertifikate erstellt, das einfügen war kein Problem, jedoch habe ich jetzt ein Zertifikat was aus vielen Teilen besteht. Intermed. ca bundle, root.crt, certificate.crt usw pkcs7 und und. Muss ich mir daraus nun immer das passende Zertifikat für den Dienst "bauen"? Also eine pem oder crt oder wie auch immer erstellen? Ich habe das Zertifikat von PSW, es handelt sich um das Wildcard Lite.
FTP nutzt normalerweise kein Zertifikat, also kannst du es hierfür nicht hernehmen. Mit dem Rest geht es. Im Apache gibst du einfach für jeden einzelnen vHost das gleiche Zertifikat mit an, sollte kein Problem sein.dmant hat geschrieben:09.10.2017 16:59:28Ich will dieses Wildcard Zertifikat nutzen für, FTP, SMTP, POP3s, IMAPs, apache2 und zwar für alle subdomains. Geht das alles mit dem einen Zertifikat?
Dann, wie mache ich das, dass jede subdomain "woanders" landet aber ssl gesichert bleibt? Also ich kann in der httpd.conf ja virtuelle hosts angeben aber geht das auch mit ssl?
IMAPs und SMTPs sind deprecatet. Heutzutage nutzt man hier im Normalfall StartTLS. Aus Zertifikatsicht spricht aber nichts dagegen, dies auch dafür zu verwenden.dmant hat geschrieben:09.10.2017 16:59:28Achso, und kann ich mit dem Zertifikat auch SSL nutzen? Also SSL und nicht StartTLS? Bei IMAP oder POP oder SMTP?
Das konkrete Problem, was du mit dem Wildcard-Zertifikat hast, mit Self-Signed aber nicht hattest, habe ich bisher noch nicht verstanden.dmant hat geschrieben:09.10.2017 16:59:28Ich hoffe das ist soweit verständlich.
Danke euch schonmal.
Re: Wildcard Zertifikat wo und vor allem WIE nutzen?
Also das was ich alles bekommen habe ist:
Ich habe keine Ahnung welches von den ganzen ich nehmen muss. Ich habe mich jetzt mal ein wenig durchgekämpft und dann mal Linux Zertifikat gearbeitet:
Dann habe ich das Zertifikat und den Key in Apache eingefügt, also in die vHosts, mein Browser mekkert unter https://dmant.ovh nicht, vll. kann ja hier einer mal auf die Seite gehen.
Beim IMAP sieht es schon ganz anders aus. Da habe ich es auch versucht nur eben als *.pem und da gibts nur Probleme.
Da habe ich eben mein Problem. Verstehe das mit den Zwischenzertifikaten nicht.
Code: Alles auswählen
Archive: certificate.zip
creating: Windows (pem)/
creating: Linux (pem+cabundle)/
creating: Plesk (Certificate+CACertificate)/
creating: Sonstige (pem)/
creating: Sonstige (pkcs7)/
inflating: Linux (pem+cabundle)/certificate.crt
inflating: Linux (pem+cabundle)/cert.cabundle
inflating: Plesk (Certificate+CACertificate)/certificate.crt
inflating: Plesk (Certificate+CACertificate)/cacertificate.crt
inflating: Windows (pem)/certificate.crt
inflating: Windows (pem)/intermediate2.crt
inflating: Windows (pem)/intermediate1.crt
inflating: Windows (pem)/root.crt
inflating: Sonstige (pem)/certificate.crt
inflating: Sonstige (pem)/intermediate2.crt
inflating: Sonstige (pem)/intermediate1.crt
inflating: Sonstige (pem)/root.crt
inflating: Sonstige (pkcs7)/certificate.cer
Code: Alles auswählen
cat certificate.crt cert.cabundle > dmant.ovh.crt
Beim IMAP sieht es schon ganz anders aus. Da habe ich es auch versucht nur eben als *.pem und da gibts nur Probleme.
Code: Alles auswählen
Oct 9 20:03:05 ns3067246 imapd-ssl: couriertls: accept: error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure
Re: Wildcard Zertifikat wo und vor allem WIE nutzen?
Das sieht schon mal gut aus, ja.dmant hat geschrieben:09.10.2017 20:02:44Dann habe ich das Zertifikat und den Key in Apache eingefügt, also in die vHosts, mein Browser mekkert unter https://dmant.ovh nicht, vll. kann ja hier einer mal auf die Seite gehen.
Da wäre deine imap-config hilfreich. Ein handshake failure sagt leider nicht wirklich viel aus.dmant hat geschrieben:09.10.2017 20:02:44Beim IMAP sieht es schon ganz anders aus. Da habe ich es auch versucht nur eben als *.pem und da gibts nur Probleme.
Da habe ich eben mein Problem. Verstehe das mit den Zwischenzertifikaten nicht.Code: Alles auswählen
Oct 9 20:03:05 ns3067246 imapd-ssl: couriertls: accept: error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure
Re: Wildcard Zertifikat wo und vor allem WIE nutzen?
Hallo, danke für die Info.
So also hier mal die /etc/courier/imapd-ssl
http://termbin.com/a816
und hier meine /etc/postfix/main.cf
http://termbin.com/4e17
POP3 kommt bei mir garnicht zum Einsatz wodurch sich die Config gespart hat.
Ich habe kA welches der Zertifikate nun nutzen muss. Ich hatte hier das Linux pem genutzt. Aber ohne Erfolg, hierbei kommt der Handshake error.
Vielleicht kennt sich ja wer gut damit aus denn ich würde das Passwort auch ganz gerne verschlüsselt und nicht per Klartext Authentifizierung das ganze beim IMAP sowie beim SMTP.
Danke
So also hier mal die /etc/courier/imapd-ssl
http://termbin.com/a816
und hier meine /etc/postfix/main.cf
http://termbin.com/4e17
POP3 kommt bei mir garnicht zum Einsatz wodurch sich die Config gespart hat.
Ich habe kA welches der Zertifikate nun nutzen muss. Ich hatte hier das Linux pem genutzt. Aber ohne Erfolg, hierbei kommt der Handshake error.
Vielleicht kennt sich ja wer gut damit aus denn ich würde das Passwort auch ganz gerne verschlüsselt und nicht per Klartext Authentifizierung das ganze beim IMAP sowie beim SMTP.
Danke
- heisenberg
- Beiträge: 3670
- Registriert: 04.06.2015 01:17:27
- Lizenz eigener Beiträge: MIT Lizenz
Re: Wildcard Zertifikat wo und vor allem WIE nutzen?
Im Grunde gibt es 3 Zertifikatsteile:
Die gängigsten Varianten sind:
Beispiel:
In welcher Kombination die Anwendungen das jeweils möchten und welche Konfigurationsdirektiven dafür erforderlich ist, verrät Dir die jeweillige Dokumentation der Anwendung(manpages, Dokumentation im Internet, Tante Google fragen).
Wenn Du sicher sein möchtest, dass Du Deine Zertifikatsdateien richtig zusammengebaut hast, kannst Du diese auch mit openssl validieren. Dazu findest Du via Google/manpages von openssl passende Anleitungen.
- privater Schlüssel ("private Key")
- Zertifikat ("Certificate")
- Zwischenzerfitikat(eins oder meherere. "Intermediate-Certificates")
Die gängigsten Varianten sind:
- 3 Dateien: Eine mit Schlüssel, eine mit Zertifikat, eine mit allen Zwischenzertifikaten(z. B. apache)
- 2 Dateien: Eine mit Schlüssel, eine mit Zertifikat + allen Zwischenzertifikaten(z. B. auch das geht mit apache, dovecot,postfix)
- 1 Datei: Eine Datei mit allen Informationen(z. B. ejabberd)
Beispiel:
Code: Alles auswählen
-----BEGIN CERTIFICATE-----
abcde...
...
sdjflkj
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
sdfdsabcde...
...
sdjflkdsfdfj
-----END CERTIFICATE-----
...(weitere Zertifikate)...
Wenn Du sicher sein möchtest, dass Du Deine Zertifikatsdateien richtig zusammengebaut hast, kannst Du diese auch mit openssl validieren. Dazu findest Du via Google/manpages von openssl passende Anleitungen.
Zuletzt geändert von heisenberg am 10.10.2017 14:34:45, insgesamt 5-mal geändert.
Re: Wildcard Zertifikat wo und vor allem WIE nutzen?
Hast du das so gemacht?# VIRTUAL HOSTS (servers only):
#
# Due to technical limitations in the original SSL/TLS protocol, a dedicated
# IP address is required for each virtual host certificate. If you have
# multiple certificates, install each certificate file as
# $TLS_CERTFILE.aaa.bbb.ccc.ddd, where "aaa.bbb.ccc.ddd" is the IP address
# for the certificate's domain name. So, if TLS_CERTFILE is set to
# /etc/certificate.pem, then you'll need to install the actual certificate
# files as /etc/certificate.pem.192.168.0.2, /etc/certificate.pem.192.168.0.3
# and so on, for each IP address.
#
# GnuTLS only (servers only):
#
# GnuTLS implements a new TLS extension that eliminates the need to have a
# dedicated IP address for each SSL/TLS domain name. Install each certificate
# as $TLS_CERTFILE.domain, so if TLS_CERTFILE is set to /etc/certificate.pem,
# then you'll need to install the actual certificate files as
# /etc/certificate.pem.host1.example.com, /etc/certificate.pem.host2.example.com
# and so on.
#
Re: Wildcard Zertifikat wo und vor allem WIE nutzen?
Hi,
Das Server Zertifikat eines Webservers wird für 2 Dinge benutzt:
1. Weist sich der Server den Clients gegenüber - überprüfbar - aus und
2. wird dadurch ermöglicht, dass jeder Client verschlüsselt mit dem Server kommunizieren kann,
zu 2. jedes Zertifikat enhält einen öffentlichen Schlüssel, der dazugehörige geheime Schlüssel ist im Server hinterlegt.
Wenn der Client dem Server etwas schickt, dann wird dieses mit dem öffentlichen Schlüssel aus dem Zertifikat verschlüsselt. Der Server kann, da er im Besitz des geheimen Schlüssels ist, die Nachricht dann wieder entschlüsseln.
zu 1. das „Ausweisen“ des Servers geht über eine Zertifikatskette. Wenn Du ein einzelnes selbts-signiertes Zertifikat verwendest, hat diese Kette die Länge 1. Wenn Du ein Zertifikat besitzt, das von einer „richtigen“ CA ausgestellt wurde, dann hat diese Kette mindestens die Länge 2. Jedes Zertifikat in dieser Kette ist mithilfe des privaten Schlüssels des vorhergehenden Elements in der Kette digital signiert. In den gängigen Browsern sind die root-Zertifikate der „richtigen“ CAs hinterlegt. Damit können dann die Zertifikate verifiziert werden, die direkt von diesen CAs ausgestellt wurden. Wenn die Länge der Kette > 2 ist, dann benötigt der Browser neben Deinem Server Zertifikat auch noch die Zwischen-Zertifikate um die Deinem Server Zertifikat vertrauen zu können.
Und noch am Beispiel:
Im Browser ist das Zertifikat „CA 007“ hinterlegt.
„CA 007 hat ein Zwischenzertifikat „Z0815“ ausgestellt (d.h. mit dem zu „CA 007“ gehörenden privaten Schlüssel digital signiert)
Dein Server-Zertifikat „DZ“ ist mit dem privaten Schlüssel von „Z0815“ digital signiert.
Wenn ein Browser sich mit Deinem Server verbindet, so muss der Server das Zertifikat „Z0815“ und „DZ“, damit er die Echtheit von DZ überprüfen kann.
... noch Fragen?
Ciao
Stefan
das ist etwas verwunderlich, wenn Du Dir ein System aufsetzt, das mit Zertifikaten arbeiten soll. Daher eine kleine Erläuterung, die sich auf die Nutzung im Browser bezieht. Bei den anderen lässt sich das sicherlich übertragen.Da habe ich eben mein Problem. Verstehe das mit den Zwischenzertifikaten nicht.
Das Server Zertifikat eines Webservers wird für 2 Dinge benutzt:
1. Weist sich der Server den Clients gegenüber - überprüfbar - aus und
2. wird dadurch ermöglicht, dass jeder Client verschlüsselt mit dem Server kommunizieren kann,
zu 2. jedes Zertifikat enhält einen öffentlichen Schlüssel, der dazugehörige geheime Schlüssel ist im Server hinterlegt.
Wenn der Client dem Server etwas schickt, dann wird dieses mit dem öffentlichen Schlüssel aus dem Zertifikat verschlüsselt. Der Server kann, da er im Besitz des geheimen Schlüssels ist, die Nachricht dann wieder entschlüsseln.
zu 1. das „Ausweisen“ des Servers geht über eine Zertifikatskette. Wenn Du ein einzelnes selbts-signiertes Zertifikat verwendest, hat diese Kette die Länge 1. Wenn Du ein Zertifikat besitzt, das von einer „richtigen“ CA ausgestellt wurde, dann hat diese Kette mindestens die Länge 2. Jedes Zertifikat in dieser Kette ist mithilfe des privaten Schlüssels des vorhergehenden Elements in der Kette digital signiert. In den gängigen Browsern sind die root-Zertifikate der „richtigen“ CAs hinterlegt. Damit können dann die Zertifikate verifiziert werden, die direkt von diesen CAs ausgestellt wurden. Wenn die Länge der Kette > 2 ist, dann benötigt der Browser neben Deinem Server Zertifikat auch noch die Zwischen-Zertifikate um die Deinem Server Zertifikat vertrauen zu können.
Und noch am Beispiel:
Im Browser ist das Zertifikat „CA 007“ hinterlegt.
„CA 007 hat ein Zwischenzertifikat „Z0815“ ausgestellt (d.h. mit dem zu „CA 007“ gehörenden privaten Schlüssel digital signiert)
Dein Server-Zertifikat „DZ“ ist mit dem privaten Schlüssel von „Z0815“ digital signiert.
Wenn ein Browser sich mit Deinem Server verbindet, so muss der Server das Zertifikat „Z0815“ und „DZ“, damit er die Echtheit von DZ überprüfen kann.
... noch Fragen?
Ciao
Stefan
Bürokratie kann man nur durch ihre Anwendung bekämpfen.
Re: Wildcard Zertifikat wo und vor allem WIE nutzen?
Nunja, also ich verstehe das schon nur habe ich keine Ahnung was was ist, also welche von den Dateien ich nutzen muss, das ist eher mein Problem. Nur das pem und cabundle oder das von sonstige und und....
Das ist eher mein Problem.
Also
Linux/CERTIFICATE.crt
Das wird das Zertifikat sein. Den Key habe ich auffem Server das ist auch klar. Aber was ist nun cabundle oder intermediate 1 und intermediate 2 und wieso ist ein root Zertifikat dabei?
Ich hoffe das kann mir einer entschlüsseln.
Danke euch.
Das ist eher mein Problem.
Also
Linux/CERTIFICATE.crt
Das wird das Zertifikat sein. Den Key habe ich auffem Server das ist auch klar. Aber was ist nun cabundle oder intermediate 1 und intermediate 2 und wieso ist ein root Zertifikat dabei?
Ich hoffe das kann mir einer entschlüsseln.
Danke euch.
Re: Wildcard Zertifikat wo und vor allem WIE nutzen?
Ich habe jetzt mal das hier gefunden
https://ssl-trust.com/ssl-zertifikat-i ... rier-imap
Also füge ich nun zusammen
mit cat zusammenfügen. Richtig?
https://ssl-trust.com/ssl-zertifikat-i ... rier-imap
Es ist notwendig für Courier-IMAP, dass Zertifikat und privater Schlüssel in einer Datei vorliegen. Die geschieht durch folgenden Befehl:
Code: Alles auswählen
cat /etc/ssl.key/example.com.key /etc/ssl.crt/example.com.crt >> /etc/courier/imapd.pem
Code: Alles auswählen
KEY-FILE
Certificate
intermediate1
intermediate2
Re: Wildcard Zertifikat wo und vor allem WIE nutzen?
Versuch es doch einfach und melden deinen Erfolg...dmant hat geschrieben:10.10.2017 21:20:38Ich habe jetzt mal das hier gefunden
https://ssl-trust.com/ssl-zertifikat-i ... rier-imap
Es ist notwendig für Courier-IMAP, dass Zertifikat und privater Schlüssel in einer Datei vorliegen. Die geschieht durch folgenden Befehl:Also füge ich nun zusammenCode: Alles auswählen
cat /etc/ssl.key/example.com.key /etc/ssl.crt/example.com.crt >> /etc/courier/imapd.pem
mit cat zusammenfügen. Richtig?Code: Alles auswählen
KEY-FILE Certificate intermediate1 intermediate2
Re: Wildcard Zertifikat wo und vor allem WIE nutzen?
Hallo,
so ich habe das jetzt alles mehrfach probiert und es klappt nicht. Also das Zertifikat ist schon ok sonst würde apache ja nicht gehen aber postfix ist dann vorbei.
Habe verschiedene veriationen probiert. Nun mekkert der Mail Client rum das TLS garnicht verfügbar ist obwohl das Zertifikat eingefügt ist. Ich verzweifel so langsam.
Auszug aus der main.cf
Hier habe ich meine Keyfile genommen. Das cert.bunde als CAfile und das certificate.crt aus dem Linux ordner.
Trotzdem kann der smtp KEIN TLS oder SSL. Schon komisch.
Beim imap habe ich das zertifikat gebaut und zwar habe ich das Sonstige (pem) genommen und zusammengesetzt mit
KEY
CERT
INTERMEDIATE1
INTERMEDIATE2
Hier der Auszug:
Trotzdem spricht der imap KEIN SSL/TLS. Ich verzweifel langsam
siehe hier
Weiss noch wer weiter? IMAP und SMTP ohne TLS/SSL funktionieren ohne Probleme. Auch IMAP Push mittels IDLE ist kein Problem.
so ich habe das jetzt alles mehrfach probiert und es klappt nicht. Also das Zertifikat ist schon ok sonst würde apache ja nicht gehen aber postfix ist dann vorbei.
Habe verschiedene veriationen probiert. Nun mekkert der Mail Client rum das TLS garnicht verfügbar ist obwohl das Zertifikat eingefügt ist. Ich verzweifel so langsam.
Auszug aus der main.cf
Code: Alles auswählen
smtpd_tls_cert_file = /etc/ssl-certs/dmant/postfix.crt
smtpd_tls_key_file = /etc/ssl-certs/dmant/dmant.ovh.key
smtpd_tls_CAfile = /ets/ssl-certs/dmant/postfixca.crt
smtpd_use_tls = yes
Code: Alles auswählen
root@ns3067246:~# openssl s_client -connect localhost:25 -starttls smtp
CONNECTED(00000003)
140601901409936:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:782:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 289 bytes and written 324 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1.2
Cipher : 0000
Session-ID:
Session-ID-ctx:
Master-Key:
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1507706254
Timeout : 300 (sec)
Verify return code: 0 (ok)
---
Beim imap habe ich das zertifikat gebaut und zwar habe ich das Sonstige (pem) genommen und zusammengesetzt mit
KEY
CERT
INTERMEDIATE1
INTERMEDIATE2
Hier der Auszug:
Code: Alles auswählen
root@ns3067246:~# openssl s_client -connect localhost:143 -starttls imap
CONNECTED(00000003)
didn't found STARTTLS in server response, try anyway...
139864290440848:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:782:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 437 bytes and written 315 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1.2
Cipher : 0000
Session-ID:
Session-ID-ctx:
Master-Key:
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1507706336
Timeout : 300 (sec)
Verify return code: 0 (ok)
---
siehe hier
Code: Alles auswählen
root@ns3067246:~# openssl s_client -connect localhost:143 -starttls imap
CONNECTED(00000003)
didn't found STARTTLS in server response, try anyway...
- heisenberg
- Beiträge: 3670
- Registriert: 04.06.2015 01:17:27
- Lizenz eigener Beiträge: MIT Lizenz
Re: Wildcard Zertifikat wo und vor allem WIE nutzen?
Wie sind den die Logmeldungen vom IMAP-Server und vom SMTP-Server beim starten bzw. beim Zugriff mittels openssl -connect localhost:25 -starttls smtp darauf?
Falls es da Probleme gibt, werden die Dienste das melden. Zu sehen in /var/log/mail.log bzw. /var/log/mail.err
Im übrigen würde ich vorschlagen eine Anwendung nach der anderen zu fixen. Also vielleicht erst einmal mit postfix beginnen.
Falls es da Probleme gibt, werden die Dienste das melden. Zu sehen in /var/log/mail.log bzw. /var/log/mail.err
Im übrigen würde ich vorschlagen eine Anwendung nach der anderen zu fixen. Also vielleicht erst einmal mit postfix beginnen.
Re: Wildcard Zertifikat wo und vor allem WIE nutzen?
Ja das habe ich mir auch gedacht deswegen hab ich hier die Postfix sachen hier gepostet. IMAP und SMTP funktionieren ja nur eben TLS/SSL nicht. Das mit den Logos kam mir auch schon, ich habe nachgesehen und was sieht man? Nichts. Da steht nur noch connect und disconnect drinnen und das wars weder in der mail.log noch in der mail.err oder mail.warn oder syslog oder auth.log
Beim normal Zugriff ohne SLL/TLS wird jedoch ordentlich geloggt. Alles ein wenig komisch.....
Wenn ich per telnet auf Port 25 connecte sagt er mir jedoch STARTTLS also sollte Postfix TLS sprechen können.
Ich finde leider den Befehl nicht mehr, jedenfalls fand ich einen openssl Befehl der mir was über den Aussteller o.ä. sagte. Dort konnte ich entnehmen das dass Zertifikat von Comodo signiert wurde.
Ich fand daraufhin diese Seite
https://www.positivessl.com/ssl-certif ... stfix.php
Das habe ich auch so gemacht, ausser das dass Key file in einem anderen Verzeichnis liegt.
Beim normal Zugriff ohne SLL/TLS wird jedoch ordentlich geloggt. Alles ein wenig komisch.....
Wenn ich per telnet auf Port 25 connecte sagt er mir jedoch STARTTLS also sollte Postfix TLS sprechen können.
Ich finde leider den Befehl nicht mehr, jedenfalls fand ich einen openssl Befehl der mir was über den Aussteller o.ä. sagte. Dort konnte ich entnehmen das dass Zertifikat von Comodo signiert wurde.
Ich fand daraufhin diese Seite
https://www.positivessl.com/ssl-certif ... stfix.php
Das habe ich auch so gemacht, ausser das dass Key file in einem anderen Verzeichnis liegt.
Zuletzt geändert von dmant am 11.10.2017 11:48:48, insgesamt 1-mal geändert.
- heisenberg
- Beiträge: 3670
- Registriert: 04.06.2015 01:17:27
- Lizenz eigener Beiträge: MIT Lizenz
Re: Wildcard Zertifikat wo und vor allem WIE nutzen?
Mal so grundsätzlich: Wenn Dir das zu anstrengend ist, dann lass es lieber sein. Dann spare ich mir hier auch die Hilfestellungen. Es ist immer wieder etwas antstrengend neues in Angriff zu nehmen. Wenn Du nur meckern willst: Da bin ich dann raus. Das ist eine Aufgabe und irgendwo liegt der Fehler. Da erwarte ich, dass Du selbst mit Engagement dabei bist. Und wenn's zu schwierig ist, dann ist vielleicht mal eine kleine Pause gut.
Das postfix ohne starttls funktioniert ist schon mal gut zu wissen, aber für die ssl-Konfiguration selbst ohne Bedeutung.
Irgendwo hast Du einen Fehler gemacht und den gilt es für Dich zu finden. Vermutlich einer der folgenden Fehler:
Das postfix ohne starttls funktioniert ist schon mal gut zu wissen, aber für die ssl-Konfiguration selbst ohne Bedeutung.
Irgendwo hast Du einen Fehler gemacht und den gilt es für Dich zu finden. Vermutlich einer der folgenden Fehler:
- Tippfehler bei Zertifikatsdateinamen(In der Postfixkonfiguration oder in den auf der Platte liegenden Zertifikatsdateien)
- Datenfehler bei den Zertifikaten(Anfangs-/Endemarker der Inhalte unvollständig, falsche Inhalte in den Dateien)
- Verständnisfehler wie die Zertifikats-Dateien(key,cert,cacert) und deren Inhalte aufgebaut sein müssen
- Gehe sehr gründlich vor!
- Mit welchen Kommandos hast Du die 3 Dateien(postfix.crt,postfixca.crt,dmant.ovh.key) für Postfix erzeugt?
- Alle Dateienamen in der postfix-Konfiguration mit den realen Datei- und Verzeichnisnamen gegenchecken.
- Sehe dir das Maillog(/var/log/mail.log) genau an und prüfe jede neue Zeile beim neustarten von postfix und beim Testzugriff mit openssl
- Wenn ab hier immer noch kein Fehler aufgetaucht ist, würde ich die Zertifikatsdateien auf der Festplatte selbst mal prüfen.
Nutze Google!Ich finde leider den Befehl nicht mehr, jedenfalls fand ich einen openssl Befehl der mir was über den Aussteller
Zuletzt geändert von heisenberg am 11.10.2017 11:52:11, insgesamt 1-mal geändert.
Re: Wildcard Zertifikat wo und vor allem WIE nutzen?
Ich habe jetzt das logging mal eingestellt (sorry) nun bekomme ich folgendes:
Also da wird wohl was sein.
Code: Alles auswählen
Oct 11 11:47:09 ns3067246 postfix/anvil[28531]: statistics: max cache size 2 at Oct 11 11:41:22
Oct 11 11:47:48 ns3067246 postfix/smtpd[28898]: cannot load Certificate Authority data: disabling TLS support
Oct 11 11:47:48 ns3067246 postfix/smtpd[28898]: warning: TLS library problem: error:02001002:system library:fopen:No such file or directory:bss_file.c:175:fopen('/ets/ssl-certs/dmant/postfixca.crt','r'):
Oct 11 11:47:48 ns3067246 postfix/smtpd[28898]: warning: TLS library problem: error:2006D080:BIO routines:BIO_new_file:no such file:bss_file.c:178:
Oct 11 11:47:48 ns3067246 postfix/smtpd[28898]: warning: TLS library problem: error:0B084002:x509 certificate routines:X509_load_cert_crl_file:system lib:by_file.c:253:
- heisenberg
- Beiträge: 3670
- Registriert: 04.06.2015 01:17:27
- Lizenz eigener Beiträge: MIT Lizenz
Re: Wildcard Zertifikat wo und vor allem WIE nutzen?
Na dass ist doch jetzt sehr eindeutig...
Re: Wildcard Zertifikat wo und vor allem WIE nutzen?
Ne eigentlich nicht denn
Ist also alles vorhanden.
Code: Alles auswählen
dmant@ns3067246:~$ ls -la /etc/ssl-certs/dmant/
total 88
drwxr-xr-x 8 root root 4096 Oct 11 00:43 .
drwxr-xr-x 3 root root 4096 Oct 9 19:00 ..
drwxrwxrwx 2 root root 4096 Oct 9 21:25 apache
-rwxrwxrwx 1 dmant dmant 27278 Oct 9 18:58 certificate.zip
-rwxrwxrwx 1 root root 1041 Oct 9 15:22 dmant.ovh.csr
-rwxrwxrwx 1 root root 1708 Oct 9 15:22 dmant.ovh.key
-rwxrwxrwx 1 root root 4167 Oct 11 01:11 postfixca.crt
-rwxrwxrwx 1 root root 1849 Oct 11 01:10 postfix.crt
dmant@ns3067246:~$
- heisenberg
- Beiträge: 3670
- Registriert: 04.06.2015 01:17:27
- Lizenz eigener Beiträge: MIT Lizenz
Re: Wildcard Zertifikat wo und vor allem WIE nutzen?
... und jetzt kommen wir zum Punkt: Gründlich! Schau Dir die Fehlermeldung gaaanz gründlich an!
Die Fehlermeldung steht da und meistens ist die Fehlermeldung richtig! (Tip: Die Fehlermeldung vom postfix ist hier absolut korrekt und der Fehler ist mir in dem von Dir vorher geposteten postfix-ssl-konfigurationsschnipssel nicht aufgefallen)
Die Fehlermeldung steht da und meistens ist die Fehlermeldung richtig! (Tip: Die Fehlermeldung vom postfix ist hier absolut korrekt und der Fehler ist mir in dem von Dir vorher geposteten postfix-ssl-konfigurationsschnipssel nicht aufgefallen)
Re: Wildcard Zertifikat wo und vor allem WIE nutzen?
Nach 3 mal drüber schauen hab ich den Fehler gefunden, und siehe da, der SMTP spricht STARTTLS und Zertifikat ist gültig
Jetzt habe ich noch port 587 über die Submission geöffnet somit spare ich mir die conf das passwort verschlüsselt zu übertragen dann kanns an den IMAP gehen.
Code: Alles auswählen
root@ns3067246:/home/dmant# /etc/init.d/postfix restart
[ ok ] Stopping Postfix Mail Transport Agent: postfix.
[ ok ] Starting Postfix Mail Transport Agent: postfix.
root@ns3067246:/home/dmant# openssl s_client -connect localhost:25 -starttls smtp CONNECTED(00000003)
depth=3 C = SE, O = AddTrust AB, OU = AddTrust External TTP Network, CN = AddTrust External CA Root
verify return:1
depth=2 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Certification Authority
verify return:1
depth=1 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Domain Validation Secure Server CA
verify return:1
depth=0 OU = Domain Control Validated, CN = *.dmant.ovh
verify return:1
---
Certificate chain
0 s:/OU=Domain Control Validated/CN=*.dmant.ovh
i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Domain Validation Secure Server CA
1 s:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Domain Validation Secure Server CA
i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority
2 s:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority
i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
---
Server certificate
-----BEGIN CERTIFICATE-----
MIIFKTCCBBGgAwIBAgIQa9wGFzVSetc5o8nWXP8ZvzANBgkqhkiG9w0BAQsFADCB
kDELMAkGA1UEBhMCR0IxGzAZBgNVBAgTEkdyZWF0ZXIgTWFuY2hlc3RlcjEQMA4G
A1UEBxMHU2FsZm9yZDEaMBgGA1UEChMRQ09NT0RPIENBIExpbWl0ZWQxNjA0BgNV
BAMTLUNPTU9ETyBSU0EgRG9tYWluIFZhbGlkYXRpb24gU2VjdXJlIFNlcnZlciBD
QTAeFw0xNzEwMDkwMDAwMDBaFw0xOTAxMDcyMzU5NTlaMDkxITAfBgNVBAsTGERv
bWFpbiBDb250cm9sIFZhbGlkYXRlZDEUMBIGA1UEAwwLKi5kbWFudC5vdmgwggEi
MA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQDn0t24yH6JDOgmLtpD5oC3DfOn
WktQtaKvLuUd0xa2gCmasOJW3cNJQpuE0twEpTxTFbVfT1ze7cT9DVErZ/Shjh69
9jOmQ3l9m1JW7PRgrV6KXDa+dUf02H0LObgHEl7fW6+4v6Phuhf70mZxsPy1Nokw
/nrWNucbIQcwAPp2K5MXr78a3g2VKd8zhxRNuLgitpHrJmdOSy2CyG31mTP519fW
OJU61whpERTw8l4c7dhFwS1D3V4wu4DWJmNiE7eANlnjQrg6cT1xsoLb12mfT2Lo
PsIhagi/rY8KdIGL/pVwHZX5WX3EPvigaKthgA1XEmRXNWM/2nclqwwmDJLfAgMB
AAGjggHTMIIBzzAfBgNVHSMEGDAWgBSQr2o6lFoL2JDqElZz30O0Oija5zAdBgNV
HQ4EFgQU9tXMdbcn1lqpILDemm71q9Ct88kwDgYDVR0PAQH/BAQDAgWgMAwGA1Ud
EwEB/wQCMAAwHQYDVR0lBBYwFAYIKwYBBQUHAwEGCCsGAQUFBwMCME8GA1UdIARI
MEYwOgYLKwYBBAGyMQECAgcwKzApBggrBgEFBQcCARYdaHR0cHM6Ly9zZWN1cmUu
Y29tb2RvLmNvbS9DUFMwCAYGZ4EMAQIBMFQGA1UdHwRNMEswSaBHoEWGQ2h0dHA6
Ly9jcmwuY29tb2RvY2EuY29tL0NPTU9ET1JTQURvbWFpblZhbGlkYXRpb25TZWN1
cmVTZXJ2ZXJDQS5jcmwwgYUGCCsGAQUFBwEBBHkwdzBPBggrBgEFBQcwAoZDaHR0
cDovL2NydC5jb21vZG9jYS5jb20vQ09NT0RPUlNBRG9tYWluVmFsaWRhdGlvblNl
Y3VyZVNlcnZlckNBLmNydDAkBggrBgEFBQcwAYYYaHR0cDovL29jc3AuY29tb2Rv
Y2EuY29tMCEGA1UdEQQaMBiCCyouZG1hbnQub3ZogglkbWFudC5vdmgwDQYJKoZI
hvcNAQELBQADggEBAHs0PvEPJnNo+7tpW8jiNDdrkc4Se14K6CabrLDXuiphVF9H
Hrvhpr67TrBPqblMFcK1ChFRA/25uWWZ1+nc1iMuCNBVQSeuh0pKYPb6EKJlo9ul
4Cx2C6HlUhK5iS1qfv8n6EesOuZowP9Duln7nsTr7BwQY2rEcxVs/GTDOKXpiXEn
Xlg6pZ3Ibjotf6lJOf2cUSbXo3vXQ8PAfJWrBJYrfo4s4hpkai2DQpRoX9FJVSD7
Q0PTRLtF6Zu0eteNaqyO8B7OgQ/ZuOCbVnoaYVhrQlu6nSzMxYuaV30oNbEOmMR5
cEoDh6UCzhzoNqSCy0sC19PHsq5PC25K/sn6aJE=
-----END CERTIFICATE-----
subject=/OU=Domain Control Validated/CN=*.dmant.ovh
issuer=/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Domain Validation Secure Server CA
---
No client certificate CA names sent
---
SSL handshake has read 5200 bytes and written 450 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1.2
Cipher : ECDHE-RSA-AES256-GCM-SHA384
Session-ID: D24E98A90B56A6135EA240618A47CD8D33879665681914C70A9501C0BA763461
Session-ID-ctx:
Master-Key: 15E1BCB433E52C98587FDF3CF7694179E8AECB25DFDAC626091F99816BA2C7C5E3DF249998950DC48663D3528A63A566
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
TLS session ticket lifetime hint: 7200 (seconds)
TLS session ticket:
0000 - da 96 30 5f f8 32 aa 05-a0 c7 5f 5e 3f cc af d2 ..0_.2...._^?...
0010 - df 20 6b 3a 3f 52 82 61-c5 e0 3f de 6c 30 54 53 . k:?R.a..?.l0TS
0020 - 5a 2f 9c e3 51 81 3d bf-3b 76 3c 50 c0 b6 3c 84 Z/..Q.=.;v<P..<.
0030 - 31 f0 00 13 2d 82 31 e1-cd a8 1a 4c a1 ee 6d 5f 1...-.1....L..m_
0040 - ba f8 2e 2d d8 26 dc 88-c8 82 7b 56 3f 88 d6 f2 ...-.&....{V?...
0050 - 21 82 78 c0 9b 71 72 19-d0 76 bb 70 95 31 e5 0a !.x..qr..v.p.1..
0060 - b5 dc c8 0a bb fe d9 93-79 63 43 76 47 3c 07 b4 ........ycCvG<..
0070 - 41 ca 80 b9 a0 3e 2d 74-eb 6a 6d 6b 77 2e 2a ee A....>-t.jmkw.*.
0080 - ee de a2 8b 4c 44 47 37-3d 35 92 67 03 af 49 1c ....LDG7=5.g..I.
0090 - f8 00 86 93 cb 63 ca d2-0c b3 36 06 22 67 0e d8 .....c....6."g..
Start Time: 1507720321
Timeout : 300 (sec)
Verify return code: 0 (ok)
---
250 DSN
exit
502 5.5.2 Error: command not recognized
quit
221 2.0.0 Bye
closed
root@ns3067246:/home/dmant#
- heisenberg
- Beiträge: 3670
- Registriert: 04.06.2015 01:17:27
- Lizenz eigener Beiträge: MIT Lizenz
Re: Wildcard Zertifikat wo und vor allem WIE nutzen?
Für alle Mitleser: Der Fehler war ein falsch geschriebener Pfad(ets statt etc) in main.cf von postfix:
/ets/ssl-certs/dmant/postfixca.crt
Re: Wildcard Zertifikat wo und vor allem WIE nutzen?
Genau ok also wie oben gesehen funktioniert STARTTLS beim SMTP
Nun habe ich mich an den IMAP gemacht.
/etc/courier/imapd-ssl
Also certfile nehme ich hier das certificate und als trustcert das cabundle. In das certificate habe ich, wie von courier gewollt den key eingefügt.
und siehe da
Er spricht SSL3. Auch im Client funktioniert alles prima. Allerdings taucht noch ein Fehler in der Mail.log auf.
Ich habe mittlerweile herausgefunden das es an den DHPARAMS liegt. Erzeuge ich diese im Zertifikat (openssl gendh >> imapd.pem) geht der IMAP dann garnicht mehr. Es funktioniert alles aber der Fehler stört mich.
STARTTLS geht garnicht.
Ich hoffe ihr könnt mir weiter helfen. Ein Fehler in jeder log bleibt jedoch aus.
Nun habe ich mich an den IMAP gemacht.
/etc/courier/imapd-ssl
Code: Alles auswählen
......
TLS_CERTFILE=/etc/ssl-certs/dmant/imapd.pem
##NAME: TLS_DHPARAMS:0
#
# TLS_DHPARAMS - DH parameter file.
#
#TLS_DHPARAMS=/etc/courier/dhparams.pem
TLS_TRUSTCERTS=/etc/ssl-certs/dmant/imapdca.pem
......
und siehe da
Code: Alles auswählen
root@ns3067246:~# openssl s_client -connect localhost:993 -ssl3
CONNECTED(00000003)
write:errno=104
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 0 bytes and written 0 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : SSLv3
Cipher : 0000
Session-ID:
Session-ID-ctx:
Master-Key:
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1507729572
Timeout : 7200 (sec)
Verify return code: 0 (ok)
---
root@ns3067246:~#
Code: Alles auswählen
Oct 11 15:46:06 ns3067246 imapd-ssl: couriertls: /etc/ssl-certs/dmant/imapd.pem: error:0906D06C:PEM routines:PEM_read_bio:no start line
Oct 11 15:46:06 ns3067246 imapd-ssl: couriertls: connect: error:14076102:SSL routines:SSL23_GET_CLIENT_HELLO:unsupported protocol
Oct 11 15:46:12 ns3067246 imapd-ssl: couriertls: /etc/ssl-certs/dmant/imapd.pem: error:0906D06C:PEM routines:PEM_read_bio:no start line
Oct 11 15:46:12 ns3067246 imapd-ssl: couriertls: connect: error:14076102:SSL routines:SSL23_GET_CLIENT_HELLO:unsupported protocol
root@ns3067246:~#
STARTTLS geht garnicht.
Code: Alles auswählen
root@ns3067246:~# openssl s_client -connect localhost:143 -starttls imap
CONNECTED(00000003)
depth=3 C = SE, O = AddTrust AB, OU = AddTrust External TTP Network, CN = AddTrust External CA Root
verify return:1
depth=2 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Certification Authority
verify return:1
depth=1 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Domain Validation Secure Server CA
verify return:1
depth=0 OU = Domain Control Validated, CN = *.dmant.ovh
verify return:1
---
Certificate chain
0 s:/OU=Domain Control Validated/CN=*.dmant.ovh
i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Domain Validation Secure Server CA
1 s:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Domain Validation Secure Server CA
i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority
2 s:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority
i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
3 s:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
---
Server certificate
-----BEGIN CERTIFICATE-----
MIIFKTCCBBGgAwIBAgIQa9wGFzVSetc5o8nWXP8ZvzANBgkqhkiG9w0BAQsFADCB
kDELMAkGA1UEBhMCR0IxGzAZBgNVBAgTEkdyZWF0ZXIgTWFuY2hlc3RlcjEQMA4G
A1UEBxMHU2FsZm9yZDEaMBgGA1UEChMRQ09NT0RPIENBIExpbWl0ZWQxNjA0BgNV
BAMTLUNPTU9ETyBSU0EgRG9tYWluIFZhbGlkYXRpb24gU2VjdXJlIFNlcnZlciBD
QTAeFw0xNzEwMDkwMDAwMDBaFw0xOTAxMDcyMzU5NTlaMDkxITAfBgNVBAsTGERv
bWFpbiBDb250cm9sIFZhbGlkYXRlZDEUMBIGA1UEAwwLKi5kbWFudC5vdmgwggEi
MA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQDn0t24yH6JDOgmLtpD5oC3DfOn
WktQtaKvLuUd0xa2gCmasOJW3cNJQpuE0twEpTxTFbVfT1ze7cT9DVErZ/Shjh69
9jOmQ3l9m1JW7PRgrV6KXDa+dUf02H0LObgHEl7fW6+4v6Phuhf70mZxsPy1Nokw
/nrWNucbIQcwAPp2K5MXr78a3g2VKd8zhxRNuLgitpHrJmdOSy2CyG31mTP519fW
OJU61whpERTw8l4c7dhFwS1D3V4wu4DWJmNiE7eANlnjQrg6cT1xsoLb12mfT2Lo
PsIhagi/rY8KdIGL/pVwHZX5WX3EPvigaKthgA1XEmRXNWM/2nclqwwmDJLfAgMB
AAGjggHTMIIBzzAfBgNVHSMEGDAWgBSQr2o6lFoL2JDqElZz30O0Oija5zAdBgNV
HQ4EFgQU9tXMdbcn1lqpILDemm71q9Ct88kwDgYDVR0PAQH/BAQDAgWgMAwGA1Ud
EwEB/wQCMAAwHQYDVR0lBBYwFAYIKwYBBQUHAwEGCCsGAQUFBwMCME8GA1UdIARI
MEYwOgYLKwYBBAGyMQECAgcwKzApBggrBgEFBQcCARYdaHR0cHM6Ly9zZWN1cmUu
Y29tb2RvLmNvbS9DUFMwCAYGZ4EMAQIBMFQGA1UdHwRNMEswSaBHoEWGQ2h0dHA6
Ly9jcmwuY29tb2RvY2EuY29tL0NPTU9ET1JTQURvbWFpblZhbGlkYXRpb25TZWN1
cmVTZXJ2ZXJDQS5jcmwwgYUGCCsGAQUFBwEBBHkwdzBPBggrBgEFBQcwAoZDaHR0
cDovL2NydC5jb21vZG9jYS5jb20vQ09NT0RPUlNBRG9tYWluVmFsaWRhdGlvblNl
Y3VyZVNlcnZlckNBLmNydDAkBggrBgEFBQcwAYYYaHR0cDovL29jc3AuY29tb2Rv
Y2EuY29tMCEGA1UdEQQaMBiCCyouZG1hbnQub3ZogglkbWFudC5vdmgwDQYJKoZI
hvcNAQELBQADggEBAHs0PvEPJnNo+7tpW8jiNDdrkc4Se14K6CabrLDXuiphVF9H
Hrvhpr67TrBPqblMFcK1ChFRA/25uWWZ1+nc1iMuCNBVQSeuh0pKYPb6EKJlo9ul
4Cx2C6HlUhK5iS1qfv8n6EesOuZowP9Duln7nsTr7BwQY2rEcxVs/GTDOKXpiXEn
Xlg6pZ3Ibjotf6lJOf2cUSbXo3vXQ8PAfJWrBJYrfo4s4hpkai2DQpRoX9FJVSD7
Q0PTRLtF6Zu0eteNaqyO8B7OgQ/ZuOCbVnoaYVhrQlu6nSzMxYuaV30oNbEOmMR5
cEoDh6UCzhzoNqSCy0sC19PHsq5PC25K/sn6aJE=
-----END CERTIFICATE-----
subject=/OU=Domain Control Validated/CN=*.dmant.ovh
issuer=/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Domain Validation Secure Server CA
---
No client certificate CA names sent
---
SSL handshake has read 6142 bytes and written 633 bytes
---
New, TLSv1/SSLv3, Cipher is AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1.2
Cipher : AES256-GCM-SHA384
Session-ID: 09DAEB6D06C1434227BE92D865126BF68A6E8A86AF54802CDEB1594945C70B09
Session-ID-ctx:
Master-Key: 918BF98CAD32BB6F9A96410BBE3F6994BEA2872A68E3E54D8653481DFF114AA9E7ADC824C3C67E75C92846F8DC727C94
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
TLS session ticket lifetime hint: 7200 (seconds)
TLS session ticket:
0000 - 0d d5 15 38 f1 f3 e9 ae-ad 22 61 2c ae 44 44 a1 ...8....."a,.DD.
0010 - 2e 62 f0 81 45 48 9a 68-7c 3a 32 cc ff e7 73 cb .b..EH.h|:2...s.
0020 - 49 9b f3 b5 26 58 44 88-ea 61 53 cf 56 9a 8d 0d I...&XD..aS.V...
0030 - b4 80 54 03 fe 26 65 44-b2 9a 0c 5c 00 46 e1 3f ..T..&eD...\.F.?
0040 - 2e ab 87 5c 60 69 78 ef-f0 da 66 e4 f7 c6 9f aa ...\`ix...f.....
0050 - 98 5a 19 74 25 3a 1a ec-60 87 86 a3 77 6e 84 fb .Z.t%:..`...wn..
0060 - a5 96 bf e1 09 d7 2f cd-f1 4f 0d 9b bb 76 4e 21 ....../..O...vN!
0070 - 2e f0 28 b5 ee 29 2c f1-33 98 19 62 a0 c5 23 a1 ..(..),.3..b..#.
0080 - a6 ad 13 ce 29 d5 9b c3-5b ba c7 35 10 42 a7 90 ....)...[..5.B..
0090 - d9 9d a1 75 33 4b 23 91-04 1f 8e aa ed 88 a5 02 ...u3K#.........
Start Time: 1507729880
Timeout : 300 (sec)
Verify return code: 0 (ok)
---
. OK CAPABILITY completed
140532406245008:error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number:s3_pkt.c:348:
root@ns3067246:~#
- heisenberg
- Beiträge: 3670
- Registriert: 04.06.2015 01:17:27
- Lizenz eigener Beiträge: MIT Lizenz
Re: Wildcard Zertifikat wo und vor allem WIE nutzen?
Nur noch ein kleiner Kommentar: SSLv3 möchte man nicht mehr haben, da unsicher. Üblicherweise wird auch mittlerweise TLS 1.0 und gar TLS 1.1 abgeschaltet und nur noch der aktuelle Standard TLS 1.2 akzeptiert. Aber das wäre vielleicht etwas eher für den Abschluss sobald alles läuft....Er spricht SSLv3...
Für Courier + Starttls verweise ich Dich mal an google und die Courier-Dokumentation. Vielleicht hilft das:
http://linuxlasse.net/linux/howtos/TLS_ ... ourier-POP
Re: Wildcard Zertifikat wo und vor allem WIE nutzen?
Ja das habe ich auch schon gelesen. Mir ging es erstmal darum das es geht. Also ich habe das jetzt mit dem Zertifikat kapiert mit dem Zwischenzertifikat usw. Und, s.o. TLS will nicht. Da hänge ich ja gerade
Re: Wildcard Zertifikat wo und vor allem WIE nutzen?
Der TLS läuft ja zusammen mit dem SSL also in der imapd-ssl wird geconft, dort ist das SLL Zertifikat ja drinnen denn SSL geht ja. Die nutzen das selbe Zertifikat deswegen ist es komisch das es beim SSL/TLS einen Handshake gibt aber beim STARTTLS nicht. Auch, wie ergooglet, habe ich das Zertifikat in die imapd statt der imapd-ssl konfiguriert, trotzdem mekkert er und in den log taucht außer einem connect und disconnect absolut nichts auf.