Am 10.02.2015 um 15:01 schrieb Kyek, Andreas, Vodafone DE:
Werner Flamme wrote:
Am 10.02.2015 um 11:31 schrieb Kyek, Andreas, Vodafone DE:
Moin zusammen,
eine etwas spezielle Frage:
Ich setze seit längerem dovecot (mit ssl / self-signed certifate via mkcert.sh) auf der 13.2 mit apparmor zusammen ein. Das lief bis gestern zum "normalen" update einwandfrei.
Jetzt aber hat der mailserver nicht mehr starten wollen - das Problem war, das das Zertifikat "dovecot.pem" nicht mehr in /etc/ssl/certs zu finden war (die Datei war tatsächlich gelöscht). Der Update für "ca-certificates" scheint das getan zu haben. Das private Zertifikat in /etc/ssl/private dagegen war unangetastet. (beide wurden jeweils dort durch mkcert.sh abgelegt)
Ach, das passiert Dir jetzt erst? :) Ich kenne das Problem schon seit einiger Zeit...
k.A. - ich bin der Sache aus aktuellem Anlasse heute nachgegangen.
Die Datei hatte ich aber noch im Backup UND in /etc/pki/trust - in letzterem habe ich die Datei jedenfalls NIE manuell hinkopiert.
Nee, das ist der aktuelle Standard-Ort für Zertifikate, /etc/ssl/certs ist nur noch ein Symlink.
Sicher? /etc/ssl/certs ist in der Tat ein Symlink; allerdings zeigt dieser nicht nach /etc/pki/trust :-( Was dieses pki/trust Verzeichnis genau sein sol list mir nicht klar.
ls -l /etc/ssl bringt hier: ... lrwxrwxrwx 1 root root 38 19. Nov 17:02 ca-bundle.pem -> /var/lib/ca-certificates/ca-bundle.pem lrwxrwxrwx 1 root root 28 19. Nov 17:02 certs -> /var/lib/ca-certificates/pem
Mir ist also immer noch nicht klar, wie mein schönes Zertifikat nach pki/trust gewandert ist. (Hab's da jetzt wieder entsorgt)
Bei mir steht der Grund im 3. Absatz in /usr/share/doc/packages/ca-certificates/README ;) Ist eh eine ganz interessante Datei. Anscheinend ist der Packager wohl nicht darauf gekommen, dass auch andere Software als p11-kit Zertifikate suchen könnten und deshalb auf die "alten" Verzeichnisse bzw. deren Inhalte angewiesen sind. Hattest Du das Zertifikat auch nicht mehr in /etc/ssl/certs.rpmsave/? Das existiert bei mir (vom 20.10.14) und enthält den alten Stand.
mkdir /etc/dovecot/certs -> Zertifikate reinkopieren -> Dovecot-Konfig darauf zeigen lassen
Das Verzeichnis /etc/dovecot/certs ist bei mir vom 15.12.2014, also hatte ich das Problem schon vor 2 Monaten :)
Merci - werde diese Mail archivieren.
:) Auf den Gedanken bin ich gekommen, weil die Apache-Zertifikate unter /etc/apache2 liegen, die Postfix-Zertifikate unter /etc/postfix usw., obgleich es letzten Endes immer dieselben Zertifikate sind. Gruß Werner --