Wildcard Zertifikat wo und vor allem WIE nutzen?

Alles rund um sicherheitsrelevante Fragen und Probleme.
dmant
Beiträge: 251
Registriert: 09.10.2017 10:28:29

Wildcard Zertifikat wo und vor allem WIE nutzen?

Beitrag von dmant » 09.10.2017 16:59:28

Hallo,

also ich habe zu meiner Domain ein Wildcard Zertifikat. Nun dachte ich mir das ich dieses für mehrere Dienste nutze, nur weis ich nicht so ganz wie.

Also ich habe bisher immer selbst Zertifikate erstellt, das einfügen war kein Problem, jedoch habe ich jetzt ein Zertifikat was aus vielen Teilen besteht. Intermed. ca bundle, root.crt, certificate.crt usw pkcs7 und und. Muss ich mir daraus nun immer das passende Zertifikat für den Dienst "bauen"? Also eine pem oder crt oder wie auch immer erstellen? Ich habe das Zertifikat von PSW, es handelt sich um das Wildcard Lite.

Ich will dieses Wildcard Zertifikat nutzen für, FTP, SMTP, POP3s, IMAPs, apache2 und zwar für alle subdomains. Geht das alles mit dem einen Zertifikat?

Dann, wie mache ich das, dass jede subdomain "woanders" landet aber ssl gesichert bleibt? Also ich kann in der httpd.conf ja virtuelle hosts angeben aber geht das auch mit ssl?

Achso, und kann ich mit dem Zertifikat auch SSL nutzen? Also SSL und nicht StartTLS? Bei IMAP oder POP oder SMTP?

Ich hoffe das ist soweit verständlich.

Danke euch schonmal.

jeff84
Beiträge: 324
Registriert: 15.07.2009 13:32:36

Re: Wildcard Zertifikat wo und vor allem WIE nutzen?

Beitrag von jeff84 » 09.10.2017 19:53:42

dmant hat geschrieben: ↑ zum Beitrag ↑
09.10.2017 16:59:28
Also ich habe bisher immer selbst Zertifikate erstellt, das einfügen war kein Problem, jedoch habe ich jetzt ein Zertifikat was aus vielen Teilen besteht. Intermed. ca bundle, root.crt, certificate.crt usw pkcs7 und und. Muss ich mir daraus nun immer das passende Zertifikat für den Dienst "bauen"? Also eine pem oder crt oder wie auch immer erstellen? Ich habe das Zertifikat von PSW, es handelt sich um das Wildcard Lite.
Meistens brauchst du im Linux-Umfeld Zertifikate und Keys im PEM-Format. Das dürfte in deinem Fall das certificate.crt sein. Dazu liefert man noch das Intermediate mit aus. Das root.crt sollte im Client vorhanden sein, und wird daher nicht vom Server mitgeliefert.
dmant hat geschrieben: ↑ zum Beitrag ↑
09.10.2017 16:59:28
Ich will dieses Wildcard Zertifikat nutzen für, FTP, SMTP, POP3s, IMAPs, apache2 und zwar für alle subdomains. Geht das alles mit dem einen Zertifikat?

Dann, wie mache ich das, dass jede subdomain "woanders" landet aber ssl gesichert bleibt? Also ich kann in der httpd.conf ja virtuelle hosts angeben aber geht das auch mit ssl?
FTP nutzt normalerweise kein Zertifikat, also kannst du es hierfür nicht hernehmen. Mit dem Rest geht es. Im Apache gibst du einfach für jeden einzelnen vHost das gleiche Zertifikat mit an, sollte kein Problem sein.

dmant hat geschrieben: ↑ zum Beitrag ↑
09.10.2017 16:59:28
Achso, und kann ich mit dem Zertifikat auch SSL nutzen? Also SSL und nicht StartTLS? Bei IMAP oder POP oder SMTP?
IMAPs und SMTPs sind deprecatet. Heutzutage nutzt man hier im Normalfall StartTLS. Aus Zertifikatsicht spricht aber nichts dagegen, dies auch dafür zu verwenden.
dmant hat geschrieben: ↑ zum Beitrag ↑
09.10.2017 16:59:28
Ich hoffe das ist soweit verständlich.

Danke euch schonmal.
Das konkrete Problem, was du mit dem Wildcard-Zertifikat hast, mit Self-Signed aber nicht hattest, habe ich bisher noch nicht verstanden.

dmant
Beiträge: 251
Registriert: 09.10.2017 10:28:29

Re: Wildcard Zertifikat wo und vor allem WIE nutzen?

Beitrag von dmant » 09.10.2017 20:02:44

Also das was ich alles bekommen habe ist:

Code: Alles auswählen

Archive:  certificate.zip
   creating: Windows (pem)/
   creating: Linux (pem+cabundle)/
   creating: Plesk (Certificate+CACertificate)/
   creating: Sonstige (pem)/
   creating: Sonstige (pkcs7)/
  inflating: Linux (pem+cabundle)/certificate.crt  
  inflating: Linux (pem+cabundle)/cert.cabundle  
  inflating: Plesk (Certificate+CACertificate)/certificate.crt  
  inflating: Plesk (Certificate+CACertificate)/cacertificate.crt  
  inflating: Windows (pem)/certificate.crt  
  inflating: Windows (pem)/intermediate2.crt  
  inflating: Windows (pem)/intermediate1.crt  
  inflating: Windows (pem)/root.crt  
  inflating: Sonstige (pem)/certificate.crt  
  inflating: Sonstige (pem)/intermediate2.crt  
  inflating: Sonstige (pem)/intermediate1.crt  
  inflating: Sonstige (pem)/root.crt  
  inflating: Sonstige (pkcs7)/certificate.cer
  
Ich habe keine Ahnung welches von den ganzen ich nehmen muss. Ich habe mich jetzt mal ein wenig durchgekämpft und dann mal Linux Zertifikat gearbeitet:

Code: Alles auswählen

cat certificate.crt cert.cabundle > dmant.ovh.crt
Dann habe ich das Zertifikat und den Key in Apache eingefügt, also in die vHosts, mein Browser mekkert unter https://dmant.ovh nicht, vll. kann ja hier einer mal auf die Seite gehen.

Beim IMAP sieht es schon ganz anders aus. Da habe ich es auch versucht nur eben als *.pem und da gibts nur Probleme.

Code: Alles auswählen

Oct  9 20:03:05 ns3067246 imapd-ssl: couriertls: accept: error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure
Da habe ich eben mein Problem. Verstehe das mit den Zwischenzertifikaten nicht.

jeff84
Beiträge: 324
Registriert: 15.07.2009 13:32:36

Re: Wildcard Zertifikat wo und vor allem WIE nutzen?

Beitrag von jeff84 » 09.10.2017 22:11:02

dmant hat geschrieben: ↑ zum Beitrag ↑
09.10.2017 20:02:44
Dann habe ich das Zertifikat und den Key in Apache eingefügt, also in die vHosts, mein Browser mekkert unter https://dmant.ovh nicht, vll. kann ja hier einer mal auf die Seite gehen.
Das sieht schon mal gut aus, ja.
dmant hat geschrieben: ↑ zum Beitrag ↑
09.10.2017 20:02:44
Beim IMAP sieht es schon ganz anders aus. Da habe ich es auch versucht nur eben als *.pem und da gibts nur Probleme.

Code: Alles auswählen

Oct  9 20:03:05 ns3067246 imapd-ssl: couriertls: accept: error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure
Da habe ich eben mein Problem. Verstehe das mit den Zwischenzertifikaten nicht.
Da wäre deine imap-config hilfreich. Ein handshake failure sagt leider nicht wirklich viel aus.

dmant
Beiträge: 251
Registriert: 09.10.2017 10:28:29

Re: Wildcard Zertifikat wo und vor allem WIE nutzen?

Beitrag von dmant » 10.10.2017 13:50:34

Hallo, danke für die Info.

So also hier mal die /etc/courier/imapd-ssl

http://termbin.com/a816


und hier meine /etc/postfix/main.cf


http://termbin.com/4e17


POP3 kommt bei mir garnicht zum Einsatz wodurch sich die Config gespart hat.

Ich habe kA welches der Zertifikate nun nutzen muss. Ich hatte hier das Linux pem genutzt. Aber ohne Erfolg, hierbei kommt der Handshake error.

Vielleicht kennt sich ja wer gut damit aus denn ich würde das Passwort auch ganz gerne verschlüsselt und nicht per Klartext Authentifizierung das ganze beim IMAP sowie beim SMTP.

Danke

Benutzeravatar
heisenberg
Beiträge: 3473
Registriert: 04.06.2015 01:17:27
Lizenz eigener Beiträge: MIT Lizenz

Re: Wildcard Zertifikat wo und vor allem WIE nutzen?

Beitrag von heisenberg » 10.10.2017 14:20:03

Im Grunde gibt es 3 Zertifikatsteile:
  • privater Schlüssel ("private Key")
  • Zertifikat ("Certificate")
  • Zwischenzerfitikat(eins oder meherere. "Intermediate-Certificates")
Je nach Anwendung werden diese unter Linux üblicherweise im PEM-Format in verschiedener Kombination in einer oder mehreren Dateien der Anwendung zur Verfügung gestellt.

Die gängigsten Varianten sind:
  • 3 Dateien: Eine mit Schlüssel, eine mit Zertifikat, eine mit allen Zwischenzertifikaten(z. B. apache)
  • 2 Dateien: Eine mit Schlüssel, eine mit Zertifikat + allen Zwischenzertifikaten(z. B. auch das geht mit apache, dovecot,postfix)
  • 1 Datei: Eine Datei mit allen Informationen(z. B. ejabberd)
Wenn die Dateien zusammengefasst sind, dann ist es wichtig die Anfangs- und Endemarker komplett beizubehalten(ein einzelnes fehlendes - ist schon zu viel), sonst werden die Daten nicht als korrekter Schlüssel bzw. als korrektes Zertifikat erkannt. Das Zusammenfassen geschieht durch anhängen der jeweiligen Dateien an eine neue Datei. Am besten immer in der Reihenfolge: Schlüssel, dann Zertifikat, dann Zwischenzertifikate
Beispiel:

Code: Alles auswählen

-----BEGIN CERTIFICATE-----
abcde...
...
sdjflkj
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
sdfdsabcde...
...
sdjflkdsfdfj
-----END CERTIFICATE-----
...(weitere Zertifikate)...
In welcher Kombination die Anwendungen das jeweils möchten und welche Konfigurationsdirektiven dafür erforderlich ist, verrät Dir die jeweillige Dokumentation der Anwendung(manpages, Dokumentation im Internet, Tante Google fragen).

Wenn Du sicher sein möchtest, dass Du Deine Zertifikatsdateien richtig zusammengebaut hast, kannst Du diese auch mit openssl validieren. Dazu findest Du via Google/manpages von openssl passende Anleitungen.
Zuletzt geändert von heisenberg am 10.10.2017 14:34:45, insgesamt 5-mal geändert.
... unterhält sich hier gelegentlich mangels wunschgemäßer Gesprächspartner mal mit sich selbst.

jeff84
Beiträge: 324
Registriert: 15.07.2009 13:32:36

Re: Wildcard Zertifikat wo und vor allem WIE nutzen?

Beitrag von jeff84 » 10.10.2017 14:20:22

# VIRTUAL HOSTS (servers only):
#
# Due to technical limitations in the original SSL/TLS protocol, a dedicated
# IP address is required for each virtual host certificate. If you have
# multiple certificates, install each certificate file as
# $TLS_CERTFILE.aaa.bbb.ccc.ddd, where "aaa.bbb.ccc.ddd" is the IP address
# for the certificate's domain name. So, if TLS_CERTFILE is set to
# /etc/certificate.pem, then you'll need to install the actual certificate
# files as /etc/certificate.pem.192.168.0.2, /etc/certificate.pem.192.168.0.3
# and so on, for each IP address.
#
# GnuTLS only (servers only):
#
# GnuTLS implements a new TLS extension that eliminates the need to have a
# dedicated IP address for each SSL/TLS domain name. Install each certificate
# as $TLS_CERTFILE.domain, so if TLS_CERTFILE is set to /etc/certificate.pem,
# then you'll need to install the actual certificate files as
# /etc/certificate.pem.host1.example.com, /etc/certificate.pem.host2.example.com
# and so on.
#
Hast du das so gemacht?

Benutzeravatar
shoening
Beiträge: 897
Registriert: 28.01.2005 21:05:59
Lizenz eigener Beiträge: MIT Lizenz

Re: Wildcard Zertifikat wo und vor allem WIE nutzen?

Beitrag von shoening » 10.10.2017 16:22:05

Hi,
Da habe ich eben mein Problem. Verstehe das mit den Zwischenzertifikaten nicht.
das ist etwas verwunderlich, wenn Du Dir ein System aufsetzt, das mit Zertifikaten arbeiten soll. Daher eine kleine Erläuterung, die sich auf die Nutzung im Browser bezieht. Bei den anderen lässt sich das sicherlich übertragen.

Das Server Zertifikat eines Webservers wird für 2 Dinge benutzt:

1. Weist sich der Server den Clients gegenüber - überprüfbar - aus und
2. wird dadurch ermöglicht, dass jeder Client verschlüsselt mit dem Server kommunizieren kann,

zu 2. jedes Zertifikat enhält einen öffentlichen Schlüssel, der dazugehörige geheime Schlüssel ist im Server hinterlegt.
Wenn der Client dem Server etwas schickt, dann wird dieses mit dem öffentlichen Schlüssel aus dem Zertifikat verschlüsselt. Der Server kann, da er im Besitz des geheimen Schlüssels ist, die Nachricht dann wieder entschlüsseln.

zu 1. das „Ausweisen“ des Servers geht über eine Zertifikatskette. Wenn Du ein einzelnes selbts-signiertes Zertifikat verwendest, hat diese Kette die Länge 1. Wenn Du ein Zertifikat besitzt, das von einer „richtigen“ CA ausgestellt wurde, dann hat diese Kette mindestens die Länge 2. Jedes Zertifikat in dieser Kette ist mithilfe des privaten Schlüssels des vorhergehenden Elements in der Kette digital signiert. In den gängigen Browsern sind die root-Zertifikate der „richtigen“ CAs hinterlegt. Damit können dann die Zertifikate verifiziert werden, die direkt von diesen CAs ausgestellt wurden. Wenn die Länge der Kette > 2 ist, dann benötigt der Browser neben Deinem Server Zertifikat auch noch die Zwischen-Zertifikate um die Deinem Server Zertifikat vertrauen zu können.

Und noch am Beispiel:

Im Browser ist das Zertifikat „CA 007“ hinterlegt.
„CA 007 hat ein Zwischenzertifikat „Z0815“ ausgestellt (d.h. mit dem zu „CA 007“ gehörenden privaten Schlüssel digital signiert)
Dein Server-Zertifikat „DZ“ ist mit dem privaten Schlüssel von „Z0815“ digital signiert.

Wenn ein Browser sich mit Deinem Server verbindet, so muss der Server das Zertifikat „Z0815“ und „DZ“, damit er die Echtheit von DZ überprüfen kann.

... noch Fragen?

Ciao
Stefan
Bürokratie kann man nur durch ihre Anwendung bekämpfen.

dmant
Beiträge: 251
Registriert: 09.10.2017 10:28:29

Re: Wildcard Zertifikat wo und vor allem WIE nutzen?

Beitrag von dmant » 10.10.2017 21:07:33

Nunja, also ich verstehe das schon nur habe ich keine Ahnung was was ist, also welche von den Dateien ich nutzen muss, das ist eher mein Problem. Nur das pem und cabundle oder das von sonstige und und....

Das ist eher mein Problem.

Also

Linux/CERTIFICATE.crt

Das wird das Zertifikat sein. Den Key habe ich auffem Server das ist auch klar. Aber was ist nun cabundle oder intermediate 1 und intermediate 2 und wieso ist ein root Zertifikat dabei?

Ich hoffe das kann mir einer entschlüsseln.

Danke euch.

dmant
Beiträge: 251
Registriert: 09.10.2017 10:28:29

Re: Wildcard Zertifikat wo und vor allem WIE nutzen?

Beitrag von dmant » 10.10.2017 21:20:38

Ich habe jetzt mal das hier gefunden

https://ssl-trust.com/ssl-zertifikat-i ... rier-imap
Es ist notwendig für Courier-IMAP, dass Zertifikat und privater Schlüssel in einer Datei vorliegen. Die geschieht durch folgenden Befehl:

Code: Alles auswählen

cat /etc/ssl.key/example.com.key /etc/ssl.crt/example.com.crt >> /etc/courier/imapd.pem
Also füge ich nun zusammen

Code: Alles auswählen

KEY-FILE
Certificate
intermediate1
intermediate2
mit cat zusammenfügen. Richtig?

jeff84
Beiträge: 324
Registriert: 15.07.2009 13:32:36

Re: Wildcard Zertifikat wo und vor allem WIE nutzen?

Beitrag von jeff84 » 10.10.2017 21:34:28

dmant hat geschrieben: ↑ zum Beitrag ↑
10.10.2017 21:20:38
Ich habe jetzt mal das hier gefunden

https://ssl-trust.com/ssl-zertifikat-i ... rier-imap
Es ist notwendig für Courier-IMAP, dass Zertifikat und privater Schlüssel in einer Datei vorliegen. Die geschieht durch folgenden Befehl:

Code: Alles auswählen

cat /etc/ssl.key/example.com.key /etc/ssl.crt/example.com.crt >> /etc/courier/imapd.pem
Also füge ich nun zusammen

Code: Alles auswählen

KEY-FILE
Certificate
intermediate1
intermediate2
mit cat zusammenfügen. Richtig?
Versuch es doch einfach und melden deinen Erfolg...

dmant
Beiträge: 251
Registriert: 09.10.2017 10:28:29

Re: Wildcard Zertifikat wo und vor allem WIE nutzen?

Beitrag von dmant » 11.10.2017 09:19:48

Hallo,

so ich habe das jetzt alles mehrfach probiert und es klappt nicht. Also das Zertifikat ist schon ok sonst würde apache ja nicht gehen aber postfix ist dann vorbei.

Habe verschiedene veriationen probiert. Nun mekkert der Mail Client rum das TLS garnicht verfügbar ist obwohl das Zertifikat eingefügt ist. Ich verzweifel so langsam.

Auszug aus der main.cf

Code: Alles auswählen

smtpd_tls_cert_file = /etc/ssl-certs/dmant/postfix.crt
smtpd_tls_key_file = /etc/ssl-certs/dmant/dmant.ovh.key
smtpd_tls_CAfile = /ets/ssl-certs/dmant/postfixca.crt

smtpd_use_tls = yes
Hier habe ich meine Keyfile genommen. Das cert.bunde als CAfile und das certificate.crt aus dem Linux ordner.

Code: Alles auswählen

root@ns3067246:~# openssl s_client -connect localhost:25 -starttls smtp
CONNECTED(00000003)
140601901409936:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:782:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 289 bytes and written 324 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : 0000
    Session-ID: 
    Session-ID-ctx: 
    Master-Key: 
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1507706254
    Timeout   : 300 (sec)
    Verify return code: 0 (ok)
---
Trotzdem kann der smtp KEIN TLS oder SSL. Schon komisch.

Beim imap habe ich das zertifikat gebaut und zwar habe ich das Sonstige (pem) genommen und zusammengesetzt mit

KEY
CERT
INTERMEDIATE1
INTERMEDIATE2

Hier der Auszug:

Code: Alles auswählen

root@ns3067246:~# openssl s_client -connect localhost:143 -starttls imap
CONNECTED(00000003)
didn't found STARTTLS in server response, try anyway...
139864290440848:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:782:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 437 bytes and written 315 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : 0000
    Session-ID: 
    Session-ID-ctx: 
    Master-Key: 
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1507706336
    Timeout   : 300 (sec)
    Verify return code: 0 (ok)
---
Trotzdem spricht der imap KEIN SSL/TLS. Ich verzweifel langsam :(

siehe hier

Code: Alles auswählen

root@ns3067246:~# openssl s_client -connect localhost:143 -starttls imap
CONNECTED(00000003)
didn't found STARTTLS in server response, try anyway...
Weiss noch wer weiter? IMAP und SMTP ohne TLS/SSL funktionieren ohne Probleme. Auch IMAP Push mittels IDLE ist kein Problem.

Benutzeravatar
heisenberg
Beiträge: 3473
Registriert: 04.06.2015 01:17:27
Lizenz eigener Beiträge: MIT Lizenz

Re: Wildcard Zertifikat wo und vor allem WIE nutzen?

Beitrag von heisenberg » 11.10.2017 10:30:39

Wie sind den die Logmeldungen vom IMAP-Server und vom SMTP-Server beim starten bzw. beim Zugriff mittels openssl -connect localhost:25 -starttls smtp darauf?

Falls es da Probleme gibt, werden die Dienste das melden. Zu sehen in /var/log/mail.log bzw. /var/log/mail.err

Im übrigen würde ich vorschlagen eine Anwendung nach der anderen zu fixen. Also vielleicht erst einmal mit postfix beginnen.
... unterhält sich hier gelegentlich mangels wunschgemäßer Gesprächspartner mal mit sich selbst.

dmant
Beiträge: 251
Registriert: 09.10.2017 10:28:29

Re: Wildcard Zertifikat wo und vor allem WIE nutzen?

Beitrag von dmant » 11.10.2017 11:13:14

Ja das habe ich mir auch gedacht deswegen hab ich hier die Postfix sachen hier gepostet. IMAP und SMTP funktionieren ja nur eben TLS/SSL nicht. Das mit den Logos kam mir auch schon, ich habe nachgesehen und was sieht man? Nichts. Da steht nur noch connect und disconnect drinnen und das wars weder in der mail.log noch in der mail.err oder mail.warn oder syslog oder auth.log

Beim normal Zugriff ohne SLL/TLS wird jedoch ordentlich geloggt. Alles ein wenig komisch.....

Wenn ich per telnet auf Port 25 connecte sagt er mir jedoch STARTTLS also sollte Postfix TLS sprechen können.

Ich finde leider den Befehl nicht mehr, jedenfalls fand ich einen openssl Befehl der mir was über den Aussteller o.ä. sagte. Dort konnte ich entnehmen das dass Zertifikat von Comodo signiert wurde.

Ich fand daraufhin diese Seite

https://www.positivessl.com/ssl-certif ... stfix.php

Das habe ich auch so gemacht, ausser das dass Key file in einem anderen Verzeichnis liegt.
Zuletzt geändert von dmant am 11.10.2017 11:48:48, insgesamt 1-mal geändert.

Benutzeravatar
heisenberg
Beiträge: 3473
Registriert: 04.06.2015 01:17:27
Lizenz eigener Beiträge: MIT Lizenz

Re: Wildcard Zertifikat wo und vor allem WIE nutzen?

Beitrag von heisenberg » 11.10.2017 11:38:50

Mal so grundsätzlich: Wenn Dir das zu anstrengend ist, dann lass es lieber sein. Dann spare ich mir hier auch die Hilfestellungen. Es ist immer wieder etwas antstrengend neues in Angriff zu nehmen. Wenn Du nur meckern willst: Da bin ich dann raus. Das ist eine Aufgabe und irgendwo liegt der Fehler. Da erwarte ich, dass Du selbst mit Engagement dabei bist. Und wenn's zu schwierig ist, dann ist vielleicht mal eine kleine Pause gut.

Das postfix ohne starttls funktioniert ist schon mal gut zu wissen, aber für die ssl-Konfiguration selbst ohne Bedeutung.

Irgendwo hast Du einen Fehler gemacht und den gilt es für Dich zu finden. Vermutlich einer der folgenden Fehler:
  • Tippfehler bei Zertifikatsdateinamen(In der Postfixkonfiguration oder in den auf der Platte liegenden Zertifikatsdateien)
  • Datenfehler bei den Zertifikaten(Anfangs-/Endemarker der Inhalte unvollständig, falsche Inhalte in den Dateien)
  • Verständnisfehler wie die Zertifikats-Dateien(key,cert,cacert) und deren Inhalte aufgebaut sein müssen
Tippfehler(Buchstabendreher,...) kamen bei mir immer wieder vor. Ich habe da schon Stunden mit Fehlersuche verbracht um die zu finden. Deswegen:
  1. Gehe sehr gründlich vor!
  2. Mit welchen Kommandos hast Du die 3 Dateien(postfix.crt,postfixca.crt,dmant.ovh.key) für Postfix erzeugt?
  3. Alle Dateienamen in der postfix-Konfiguration mit den realen Datei- und Verzeichnisnamen gegenchecken.
  4. Sehe dir das Maillog(/var/log/mail.log) genau an und prüfe jede neue Zeile beim neustarten von postfix und beim Testzugriff mit openssl
  5. Wenn ab hier immer noch kein Fehler aufgetaucht ist, würde ich die Zertifikatsdateien auf der Festplatte selbst mal prüfen.
Edit
Ich finde leider den Befehl nicht mehr, jedenfalls fand ich einen openssl Befehl der mir was über den Aussteller
Nutze Google!
Zuletzt geändert von heisenberg am 11.10.2017 11:52:11, insgesamt 1-mal geändert.
... unterhält sich hier gelegentlich mangels wunschgemäßer Gesprächspartner mal mit sich selbst.

dmant
Beiträge: 251
Registriert: 09.10.2017 10:28:29

Re: Wildcard Zertifikat wo und vor allem WIE nutzen?

Beitrag von dmant » 11.10.2017 11:51:47

Ich habe jetzt das logging mal eingestellt (sorry) nun bekomme ich folgendes:

Code: Alles auswählen

Oct 11 11:47:09 ns3067246 postfix/anvil[28531]: statistics: max cache size 2 at Oct 11 11:41:22
Oct 11 11:47:48 ns3067246 postfix/smtpd[28898]: cannot load Certificate Authority data: disabling TLS support
Oct 11 11:47:48 ns3067246 postfix/smtpd[28898]: warning: TLS library problem: error:02001002:system library:fopen:No such file or directory:bss_file.c:175:fopen('/ets/ssl-certs/dmant/postfixca.crt','r'):
Oct 11 11:47:48 ns3067246 postfix/smtpd[28898]: warning: TLS library problem: error:2006D080:BIO routines:BIO_new_file:no such file:bss_file.c:178:
Oct 11 11:47:48 ns3067246 postfix/smtpd[28898]: warning: TLS library problem: error:0B084002:x509 certificate routines:X509_load_cert_crl_file:system lib:by_file.c:253:
Also da wird wohl was sein.

Benutzeravatar
heisenberg
Beiträge: 3473
Registriert: 04.06.2015 01:17:27
Lizenz eigener Beiträge: MIT Lizenz

Re: Wildcard Zertifikat wo und vor allem WIE nutzen?

Beitrag von heisenberg » 11.10.2017 11:58:09

Na dass ist doch jetzt sehr eindeutig...
... unterhält sich hier gelegentlich mangels wunschgemäßer Gesprächspartner mal mit sich selbst.

dmant
Beiträge: 251
Registriert: 09.10.2017 10:28:29

Re: Wildcard Zertifikat wo und vor allem WIE nutzen?

Beitrag von dmant » 11.10.2017 12:13:50

Ne eigentlich nicht denn

Code: Alles auswählen

dmant@ns3067246:~$ ls -la /etc/ssl-certs/dmant/
total 88
drwxr-xr-x 8 root  root   4096 Oct 11 00:43 .
drwxr-xr-x 3 root  root   4096 Oct  9 19:00 ..
drwxrwxrwx 2 root  root   4096 Oct  9 21:25 apache
-rwxrwxrwx 1 dmant dmant 27278 Oct  9 18:58 certificate.zip
-rwxrwxrwx 1 root  root   1041 Oct  9 15:22 dmant.ovh.csr
-rwxrwxrwx 1 root  root   1708 Oct  9 15:22 dmant.ovh.key
-rwxrwxrwx 1 root  root   4167 Oct 11 01:11 postfixca.crt
-rwxrwxrwx 1 root  root   1849 Oct 11 01:10 postfix.crt
dmant@ns3067246:~$
Ist also alles vorhanden.

Benutzeravatar
heisenberg
Beiträge: 3473
Registriert: 04.06.2015 01:17:27
Lizenz eigener Beiträge: MIT Lizenz

Re: Wildcard Zertifikat wo und vor allem WIE nutzen?

Beitrag von heisenberg » 11.10.2017 12:19:26

... und jetzt kommen wir zum Punkt: Gründlich! Schau Dir die Fehlermeldung gaaanz gründlich an!

Die Fehlermeldung steht da und meistens ist die Fehlermeldung richtig! (Tip: Die Fehlermeldung vom postfix ist hier absolut korrekt und der Fehler ist mir in dem von Dir vorher geposteten postfix-ssl-konfigurationsschnipssel nicht aufgefallen)
... unterhält sich hier gelegentlich mangels wunschgemäßer Gesprächspartner mal mit sich selbst.

dmant
Beiträge: 251
Registriert: 09.10.2017 10:28:29

Re: Wildcard Zertifikat wo und vor allem WIE nutzen?

Beitrag von dmant » 11.10.2017 13:15:58

Nach 3 mal drüber schauen hab ich den Fehler gefunden, und siehe da, der SMTP spricht STARTTLS und Zertifikat ist gültig

Code: Alles auswählen

root@ns3067246:/home/dmant# /etc/init.d/postfix restart
[ ok ] Stopping Postfix Mail Transport Agent: postfix.
[ ok ] Starting Postfix Mail Transport Agent: postfix.
root@ns3067246:/home/dmant# openssl s_client -connect localhost:25 -starttls smtp  CONNECTED(00000003)
depth=3 C = SE, O = AddTrust AB, OU = AddTrust External TTP Network, CN = AddTrust External CA Root
verify return:1
depth=2 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Certification Authority
verify return:1
depth=1 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Domain Validation Secure Server CA
verify return:1
depth=0 OU = Domain Control Validated, CN = *.dmant.ovh
verify return:1
---
Certificate chain
 0 s:/OU=Domain Control Validated/CN=*.dmant.ovh
   i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Domain Validation Secure Server CA
 1 s:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Domain Validation Secure Server CA
   i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority
 2 s:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority
   i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=/OU=Domain Control Validated/CN=*.dmant.ovh
issuer=/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Domain Validation Secure Server CA
---
No client certificate CA names sent
---
SSL handshake has read 5200 bytes and written 450 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES256-GCM-SHA384
    Session-ID: D24E98A90B56A6135EA240618A47CD8D33879665681914C70A9501C0BA763461
    Session-ID-ctx:
    Master-Key: 15E1BCB433E52C98587FDF3CF7694179E8AECB25DFDAC626091F99816BA2C7C5E3DF249998950DC48663D3528A63A566
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    TLS session ticket lifetime hint: 7200 (seconds)
    TLS session ticket:
    0000 - da 96 30 5f f8 32 aa 05-a0 c7 5f 5e 3f cc af d2   ..0_.2...._^?...
    0010 - df 20 6b 3a 3f 52 82 61-c5 e0 3f de 6c 30 54 53   . k:?R.a..?.l0TS
    0020 - 5a 2f 9c e3 51 81 3d bf-3b 76 3c 50 c0 b6 3c 84   Z/..Q.=.;v<P..<.
    0030 - 31 f0 00 13 2d 82 31 e1-cd a8 1a 4c a1 ee 6d 5f   1...-.1....L..m_
    0040 - ba f8 2e 2d d8 26 dc 88-c8 82 7b 56 3f 88 d6 f2   ...-.&....{V?...
    0050 - 21 82 78 c0 9b 71 72 19-d0 76 bb 70 95 31 e5 0a   !.x..qr..v.p.1..
    0060 - b5 dc c8 0a bb fe d9 93-79 63 43 76 47 3c 07 b4   ........ycCvG<..
    0070 - 41 ca 80 b9 a0 3e 2d 74-eb 6a 6d 6b 77 2e 2a ee   A....>-t.jmkw.*.
    0080 - ee de a2 8b 4c 44 47 37-3d 35 92 67 03 af 49 1c   ....LDG7=5.g..I.
    0090 - f8 00 86 93 cb 63 ca d2-0c b3 36 06 22 67 0e d8   .....c....6."g..

    Start Time: 1507720321
    Timeout   : 300 (sec)
    Verify return code: 0 (ok)
---
250 DSN
exit
502 5.5.2 Error: command not recognized
quit
221 2.0.0 Bye
closed
root@ns3067246:/home/dmant#
Jetzt habe ich noch port 587 über die Submission geöffnet somit spare ich mir die conf das passwort verschlüsselt zu übertragen dann kanns an den IMAP gehen. :)

Benutzeravatar
heisenberg
Beiträge: 3473
Registriert: 04.06.2015 01:17:27
Lizenz eigener Beiträge: MIT Lizenz

Re: Wildcard Zertifikat wo und vor allem WIE nutzen?

Beitrag von heisenberg » 11.10.2017 13:39:35

Für alle Mitleser: Der Fehler war ein falsch geschriebener Pfad(ets statt etc) in main.cf von postfix:
/ets/ssl-certs/dmant/postfixca.crt
... unterhält sich hier gelegentlich mangels wunschgemäßer Gesprächspartner mal mit sich selbst.

dmant
Beiträge: 251
Registriert: 09.10.2017 10:28:29

Re: Wildcard Zertifikat wo und vor allem WIE nutzen?

Beitrag von dmant » 11.10.2017 15:52:26

Genau :) ok also wie oben gesehen funktioniert STARTTLS beim SMTP :)

Nun habe ich mich an den IMAP gemacht.

/etc/courier/imapd-ssl

Code: Alles auswählen

......
TLS_CERTFILE=/etc/ssl-certs/dmant/imapd.pem

##NAME: TLS_DHPARAMS:0
#
# TLS_DHPARAMS - DH parameter file.
#
#TLS_DHPARAMS=/etc/courier/dhparams.pem

TLS_TRUSTCERTS=/etc/ssl-certs/dmant/imapdca.pem
......
Also certfile nehme ich hier das certificate und als trustcert das cabundle. In das certificate habe ich, wie von courier gewollt den key eingefügt.

und siehe da

Code: Alles auswählen

root@ns3067246:~# openssl s_client -connect localhost:993 -ssl3
CONNECTED(00000003)
write:errno=104
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 0 bytes and written 0 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : SSLv3
    Cipher    : 0000
    Session-ID:
    Session-ID-ctx:
    Master-Key:
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1507729572
    Timeout   : 7200 (sec)
    Verify return code: 0 (ok)
---
root@ns3067246:~#
Er spricht SSL3. Auch im Client funktioniert alles prima. Allerdings taucht noch ein Fehler in der Mail.log auf.

Code: Alles auswählen

Oct 11 15:46:06 ns3067246 imapd-ssl: couriertls: /etc/ssl-certs/dmant/imapd.pem: error:0906D06C:PEM routines:PEM_read_bio:no start line
Oct 11 15:46:06 ns3067246 imapd-ssl: couriertls: connect: error:14076102:SSL routines:SSL23_GET_CLIENT_HELLO:unsupported protocol
Oct 11 15:46:12 ns3067246 imapd-ssl: couriertls: /etc/ssl-certs/dmant/imapd.pem: error:0906D06C:PEM routines:PEM_read_bio:no start line
Oct 11 15:46:12 ns3067246 imapd-ssl: couriertls: connect: error:14076102:SSL routines:SSL23_GET_CLIENT_HELLO:unsupported protocol
root@ns3067246:~#
Ich habe mittlerweile herausgefunden das es an den DHPARAMS liegt. Erzeuge ich diese im Zertifikat (openssl gendh >> imapd.pem) geht der IMAP dann garnicht mehr. Es funktioniert alles aber der Fehler stört mich.

STARTTLS geht garnicht.

Code: Alles auswählen

root@ns3067246:~# openssl s_client -connect localhost:143 -starttls imap
CONNECTED(00000003)
depth=3 C = SE, O = AddTrust AB, OU = AddTrust External TTP Network, CN = AddTrust External CA Root
verify return:1
depth=2 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Certification Authority
verify return:1
depth=1 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Domain Validation Secure Server CA
verify return:1
depth=0 OU = Domain Control Validated, CN = *.dmant.ovh
verify return:1
---
Certificate chain
 0 s:/OU=Domain Control Validated/CN=*.dmant.ovh
   i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Domain Validation Secure Server CA
 1 s:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Domain Validation Secure Server CA
   i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority
 2 s:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority
   i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
 3 s:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
   i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=/OU=Domain Control Validated/CN=*.dmant.ovh
issuer=/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Domain Validation Secure Server CA
---
No client certificate CA names sent
---
SSL handshake has read 6142 bytes and written 633 bytes
---
New, TLSv1/SSLv3, Cipher is AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : AES256-GCM-SHA384
    Session-ID: 09DAEB6D06C1434227BE92D865126BF68A6E8A86AF54802CDEB1594945C70B09
    Session-ID-ctx:
    Master-Key: 918BF98CAD32BB6F9A96410BBE3F6994BEA2872A68E3E54D8653481DFF114AA9E7ADC824C3C67E75C92846F8DC727C94
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    TLS session ticket lifetime hint: 7200 (seconds)
    TLS session ticket:
    0000 - 0d d5 15 38 f1 f3 e9 ae-ad 22 61 2c ae 44 44 a1   ...8....."a,.DD.
    0010 - 2e 62 f0 81 45 48 9a 68-7c 3a 32 cc ff e7 73 cb   .b..EH.h|:2...s.
    0020 - 49 9b f3 b5 26 58 44 88-ea 61 53 cf 56 9a 8d 0d   I...&XD..aS.V...
    0030 - b4 80 54 03 fe 26 65 44-b2 9a 0c 5c 00 46 e1 3f   ..T..&eD...\.F.?
    0040 - 2e ab 87 5c 60 69 78 ef-f0 da 66 e4 f7 c6 9f aa   ...\`ix...f.....
    0050 - 98 5a 19 74 25 3a 1a ec-60 87 86 a3 77 6e 84 fb   .Z.t%:..`...wn..
    0060 - a5 96 bf e1 09 d7 2f cd-f1 4f 0d 9b bb 76 4e 21   ....../..O...vN!
    0070 - 2e f0 28 b5 ee 29 2c f1-33 98 19 62 a0 c5 23 a1   ..(..),.3..b..#.
    0080 - a6 ad 13 ce 29 d5 9b c3-5b ba c7 35 10 42 a7 90   ....)...[..5.B..
    0090 - d9 9d a1 75 33 4b 23 91-04 1f 8e aa ed 88 a5 02   ...u3K#.........

    Start Time: 1507729880
    Timeout   : 300 (sec)
    Verify return code: 0 (ok)
---
. OK CAPABILITY completed
140532406245008:error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number:s3_pkt.c:348:
root@ns3067246:~#
Ich hoffe ihr könnt mir weiter helfen. Ein Fehler in jeder log bleibt jedoch aus.

Benutzeravatar
heisenberg
Beiträge: 3473
Registriert: 04.06.2015 01:17:27
Lizenz eigener Beiträge: MIT Lizenz

Re: Wildcard Zertifikat wo und vor allem WIE nutzen?

Beitrag von heisenberg » 11.10.2017 16:02:55

...Er spricht SSLv3...
Nur noch ein kleiner Kommentar: SSLv3 möchte man nicht mehr haben, da unsicher. Üblicherweise wird auch mittlerweise TLS 1.0 und gar TLS 1.1 abgeschaltet und nur noch der aktuelle Standard TLS 1.2 akzeptiert. Aber das wäre vielleicht etwas eher für den Abschluss sobald alles läuft.

Für Courier + Starttls verweise ich Dich mal an google und die Courier-Dokumentation. Vielleicht hilft das:

http://linuxlasse.net/linux/howtos/TLS_ ... ourier-POP
... unterhält sich hier gelegentlich mangels wunschgemäßer Gesprächspartner mal mit sich selbst.

dmant
Beiträge: 251
Registriert: 09.10.2017 10:28:29

Re: Wildcard Zertifikat wo und vor allem WIE nutzen?

Beitrag von dmant » 11.10.2017 16:07:02

Ja das habe ich auch schon gelesen. Mir ging es erstmal darum das es geht. Also ich habe das jetzt mit dem Zertifikat kapiert mit dem Zwischenzertifikat usw. Und, s.o. TLS will nicht. Da hänge ich ja gerade ;)

dmant
Beiträge: 251
Registriert: 09.10.2017 10:28:29

Re: Wildcard Zertifikat wo und vor allem WIE nutzen?

Beitrag von dmant » 11.10.2017 17:22:32

Der TLS läuft ja zusammen mit dem SSL also in der imapd-ssl wird geconft, dort ist das SLL Zertifikat ja drinnen denn SSL geht ja. Die nutzen das selbe Zertifikat deswegen ist es komisch das es beim SSL/TLS einen Handshake gibt aber beim STARTTLS nicht. Auch, wie ergooglet, habe ich das Zertifikat in die imapd statt der imapd-ssl konfiguriert, trotzdem mekkert er und in den log taucht außer einem connect und disconnect absolut nichts auf.

Antworten