Werner Flamme wrote:
Am 10.02.2015 um 11:31 schrieb Kyek, Andreas, Vodafone DE:
Moin zusammen,
eine etwas spezielle Frage:
Ich setze seit längerem dovecot (mit ssl / self-signed certifate via mkcert.sh) auf der 13.2 mit apparmor zusammen ein. Das lief bis gestern zum "normalen" update einwandfrei.
Jetzt aber hat der mailserver nicht mehr starten wollen - das Problem war, das das Zertifikat "dovecot.pem" nicht mehr in /etc/ssl/certs zu finden war (die Datei war tatsächlich gelöscht). Der Update für "ca-certificates" scheint das getan zu haben. Das private Zertifikat in /etc/ssl/private dagegen war unangetastet. (beide wurden jeweils dort durch mkcert.sh abgelegt)
Ach, das passiert Dir jetzt erst? :) Ich kenne das Problem schon seit einiger Zeit...
k.A. - ich bin der Sache aus aktuellem Anlasse heute nachgegangen.
Die Datei hatte ich aber noch im Backup UND in /etc/pki/trust - in letzterem habe ich die Datei jedenfalls NIE manuell hinkopiert.
Nee, das ist der aktuelle Standard-Ort für Zertifikate, /etc/ssl/certs ist nur noch ein Symlink.
Sicher? /etc/ssl/certs ist in der Tat ein Symlink; allerdings zeigt dieser nicht nach /etc/pki/trust :-( Was dieses pki/trust Verzeichnis genau sein sol list mir nicht klar. ls -l /etc/ssl bringt hier: ... lrwxrwxrwx 1 root root 38 19. Nov 17:02 ca-bundle.pem -> /var/lib/ca-certificates/ca-bundle.pem lrwxrwxrwx 1 root root 28 19. Nov 17:02 certs -> /var/lib/ca-certificates/pem Mir ist also immer noch nicht klar, wie mein schönes Zertifikat nach pki/trust gewandert ist. (Hab's da jetzt wieder entsorgt)
Frage: a) wer hat mein Zertifikat da hin gelegt
Wie Du richtig vermutet hast, war das das Update. "rpm -qf /etc/ssl/certs" sollte Dir das passende Paket anzeigen.
Das hatte ich ja geschrieben - "ca-certificates" ist wohl das "schuldige" Paket. Ungewöhnlich ist allerdings das NICHT zu dem Paket gehörende Dateien gelöscht werden; das kenne ich von rpm bisher nicht so. Da hat jemand ein ziemlich radikales [de-]installationsskript in das rpm gepackt.
b) leider kann man /etc/pki/trust/dovecot.pem nicht in der ssl-conf eintragen; hier wird der Zugriff durch apparmor mal wieder verweigert.
Dovecot auf "complain" stellen und Meldungen verfolgen. Ggf. in /etc/apparmor.d/ ein Regelwerk zusammenbasteln. Ist aber m. E. mühselig, wenn Christian Boltz da auch anderer Ansicht ist :)
Das habe ich versucht - ist wohl entweder nicht mein Tag oder allgemein nicht mein Ding.
Oder Du fügst die Zeilen /etc/pki/ r, /etc/pki/trust/ r, /etc/pki/trust/* r, in eine bestehende Datei wie /etc/apparmor.d/abstractions/ssl_certs oder /etc/apparmor.d/local/usr.lib.dovecot.ssl-params ein.
Ist auch 'ne Idee; die unten hat mir aber besser gefallen. Damit sind die dovecot certifikate bei der restliche dovecot config; passt!
Was macht man nun sinnvollerweise? Kurzfristig habe ich mir das certifikat wieder nach /etc/ssl/certs kopiert - laufe nun aber Gefahr das der nächste update von ca-certifikates das wieder "wegräumt".
Ideen?
mkdir /etc/dovecot/certs -> Zertifikate reinkopieren -> Dovecot-Konfig darauf zeigen lassen
Das Verzeichnis /etc/dovecot/certs ist bei mir vom 15.12.2014, also hatte ich das Problem schon vor 2 Monaten :)
Merci - werde diese Mail archivieren. Andreas -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org