Am 10.02.2015 um 11:31 schrieb Kyek, Andreas, Vodafone DE:
Moin zusammen,
eine etwas spezielle Frage:
Ich setze seit längerem dovecot (mit ssl / self-signed certifate via mkcert.sh) auf der 13.2 mit apparmor zusammen ein. Das lief bis gestern zum "normalen" update einwandfrei.
Jetzt aber hat der mailserver nicht mehr starten wollen - das Problem war, das das Zertifikat "dovecot.pem" nicht mehr in /etc/ssl/certs zu finden war (die Datei war tatsächlich gelöscht). Der Update für "ca-certificates" scheint das getan zu haben. Das private Zertifikat in /etc/ssl/private dagegen war unangetastet. (beide wurden jeweils dort durch mkcert.sh abgelegt)
Ach, das passiert Dir jetzt erst? :) Ich kenne das Problem schon seit einiger Zeit...
Die Datei hatte ich aber noch im Backup UND in /etc/pki/trust - in letzterem habe ich die Datei jedenfalls NIE manuell hinkopiert.
Nee, das ist der aktuelle Standard-Ort für Zertifikate, /etc/ssl/certs ist nur noch ein Symlink.
Frage: a) wer hat mein Zertifikat da hin gelegt
Wie Du richtig vermutet hast, war das das Update. "rpm -qf /etc/ssl/certs" sollte Dir das passende Paket anzeigen.
b) leider kann man /etc/pki/trust/dovecot.pem nicht in der ssl-conf eintragen; hier wird der Zugriff durch apparmor mal wieder verweigert.
Dovecot auf "complain" stellen und Meldungen verfolgen. Ggf. in /etc/apparmor.d/ ein Regelwerk zusammenbasteln. Ist aber m. E. mühselig, wenn Christian Boltz da auch anderer Ansicht ist :) Oder Du fügst die Zeilen /etc/pki/ r, /etc/pki/trust/ r, /etc/pki/trust/* r, in eine bestehende Datei wie /etc/apparmor.d/abstractions/ssl_certs oder /etc/apparmor.d/local/usr.lib.dovecot.ssl-params ein.
Was macht man nun sinnvollerweise? Kurzfristig habe ich mir das certifikat wieder nach /etc/ssl/certs kopiert - laufe nun aber Gefahr das der nächste update von ca-certifikates das wieder "wegräumt".
Ideen?
mkdir /etc/dovecot/certs -> Zertifikate reinkopieren -> Dovecot-Konfig darauf zeigen lassen Das Verzeichnis /etc/dovecot/certs ist bei mir vom 15.12.2014, also hatte ich das Problem schon vor 2 Monaten :) HDH, Werner --