Am Mon, 6 Aug 2012 15:06:37 +0200 schrieb Helga Fischer <Azula@gmx.de>:
Am Montag 06 August 2012 schrieb Dieter Klünter:
Am Mon, 6 Aug 2012 13:24:11 +0200 schrieb Helga Fischer <Azula@gmx.de>:
[...]
Ich würde jetzt gerne wissen, ob tatsächlich das Zertifikat (Wildcard) daran schuld ist. Aber wo liegt dieses Teil? Gibt's vielleicht irgendeine GUI, von wo aus man durch die Zertifikate springen und sie sich angucken kann?
Beide POP-Accounts werden über tls angesprochen.
Teste einfach mal, ob du die richtige CA installiert hast,
openssl s_client -connect mailhost:110 -CApath /etc/ssl/certs -starttls pop3 -showcerts
mit quit die Session beenden. Interessant sind die Informationen der 'verify' Phase, wenn da verify return:1 steht, ist alles OK und dein KMail ist doof.
Ich weiß, KMail ist doof ;) - Bis einschließlich Suse 11.4 hatte ich seltenst Probleme mit KMail und solche schon gar nicht.
helga@schroedinger:~> openssl s_client -connect mail.eschkitai.de:110 -CApath /etc/ssl/certs CONNECTED(00000003) 139928479688360:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:683: --- no peer certificate available --- No client certificate CA names sent --- SSL handshake has read 7 bytes and written 209 bytes --- New, (NONE), Cipher is (NONE) Secure Renegotiation IS NOT supported Compression: NONE Expansion: NONE
Hier kriege ich übrigens meine Mails. Sucht sich KMail auch selbst so raus in Verbindung mit tls und text fürs Passwort.
Du hast die Verbindung ohne starttls ausgeführt, daher ist auch das peer certificate nicht verfügbar, die Session geht dann unverschlüsselt mit pop3 weiter
--- helga@schroedinger:~> openssl s_client -connect mail.eschkitai.de:995 -CApath /etc/ssl/certs CONNECTED(00000003) depth=2 C = BE, O = GlobalSign nv-sa, OU = Root CA, CN = GlobalSign Root CA verify return:1 depth=1 OU = Organization Validation CA, O = GlobalSign, CN = GlobalSign Organization Validation CA verify return:1 depth=0 C = DE, ST = Nordrhein-Westfalen, L = Koeln, OU = SA - Shared Hosting, O = Host Europe GmbH, CN = *.webpack.hosteurope.de verify return:1
Das meintest Du vermutlich mit Return 1.
Ja,
--- Certificate chain [...] +OK Dovecot ready. quit +OK Logging out
Das sieht für mich alles richtig aus, aber ich kann mich auf den Kopf stellen, über Port 995 kriege ich keine Mails und wenn ich noch so lange warte. KMail/KDE4 kriegt das auch nicht hin, während Port 110 funktionert.
Ja, so sollte es sein mit TLS over Secure Port. Wie ist denn KMail konfiguriert? Bitte nicht starttls und port 995 gemeinsam verwenden, das funktioniert nicht, entweder starttls über default port oder TLS über Secure Port (früher mal als SSL bekannt). -Dieter -- Dieter Klünter | Systemberatung http://dkluenter.de GPG Key ID:DA147B05 53°37'09,95"N 10°08'02,42"E -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org