cyrrus-imapd postfix CA's
Hallo, ich habe ein Problem mit den CA Files in imapd und postfix ? Imap meint er findet keinen öffentlichen Schlüssel ? Vorgehensweise ? CA mit YaST2 erzeugt dann drei Zusatz CA erzeugt rechner.example.com, imap.example.com, mail.example.com, dann als default CA exportiert /etc/ssh/servercerts/server(cert/key).pem das selbe auch mit imap, mail die CA's umbenannte als server(cert/key)-imap.pem & server(cert/key)-mail.pem. Jetzt müßte doch eigentlich jeder "Server" sein "richtiges" CA File haben ? Jedenfalls meint imapd er kann keinen öffentlichen Schlüssel finden ? Wo ist der Fehler im YaST2-ca-manager oder bei mir ?? -- mit freundlichen Grüßen / best Regards Günther J. Niederwimmer -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Moin moin, hmm also bei mir liegt des alles unter /etc/ssl/certs/<service>.pem aber schauu doch vrosichtshalber mal unter /usr/share/doc/packages/<deinpackage> nach ob's ne Readme.SuSE gibt, da sollte alles drinstehen gruss Max Günther J. Niederwimmer schrieb:
Hallo,
ich habe ein Problem mit den CA Files in imapd und postfix ?
Imap meint er findet keinen öffentlichen Schlüssel ?
Vorgehensweise ?
CA mit YaST2 erzeugt dann drei Zusatz CA erzeugt rechner.example.com, imap.example.com, mail.example.com,
dann als default CA exportiert /etc/ssh/servercerts/server(cert/key).pem
das selbe auch mit imap, mail die CA's umbenannte als server(cert/key)-imap.pem & server(cert/key)-mail.pem.
Jetzt müßte doch eigentlich jeder "Server" sein "richtiges" CA File haben ?
Jedenfalls meint imapd er kann keinen öffentlichen Schlüssel finden ?
Wo ist der Fehler im YaST2-ca-manager oder bei mir ??
Günther J. Niederwimmer schrieb:
Wo ist der Fehler im YaST2-ca-manager oder bei mir ??
Wie steht es mit den Rechten der Dateien. Läuft imap ggf. chrooted? Was steht in /var/log/warn messages mail? -- i.A. Ralf Prengel Customer Care Manager Comline AG Hauert 8 D-44227 Dortmund/Germany Fon +49231 97575- 904 Fax +49231 97575- 905 EMail ralf.prengel@comline.de www.comline.de Vorstand Stephan Schilling, Erwin Leonhardi Aufsichtsrat Dr. Franz Schoser (Vorsitzender) HR Dortmund B 14570 USt.-ID-Nr. DE 124727422 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Montag, 14. April 2008 10:12:18 schrieb Ralf Prengel:
Günther J. Niederwimmer schrieb:
Wo ist der Fehler im YaST2-ca-manager oder bei mir ??
Wie steht es mit den Rechten der Dateien. Läuft imap ggf. chrooted? Was steht in /var/log/warn messages mail?
0664 root root wie es YaST2 erzeugt. nein imap läuft nicht chrooted. im Moment finde ich die Meldung wegen dem öffentlichen Schlüssel nicht, jedefalls lehnt kmail die Verbindung ab wenn ich das CA für imap benutze ? -- mit freundlichen Grüßen / best Regards Günther J. Niederwimmer -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo, Am Montag, 14. April 2008 10:36:32 schrieb Günther J. Niederwimmer:
Am Montag, 14. April 2008 10:12:18 schrieb Ralf Prengel:
Günther J. Niederwimmer schrieb:
Wo ist der Fehler im YaST2-ca-manager oder bei mir ??
Wie steht es mit den Rechten der Dateien. Läuft imap ggf. chrooted? Was steht in /var/log/warn messages mail?
0664 root root wie es YaST2 erzeugt.
nein imap läuft nicht chrooted.
im Moment finde ich die Meldung wegen dem öffentlichen Schlüssel nicht, jedefalls lehnt kmail die Verbindung ab wenn ich das CA für imap benutze ?
Hatte was vergessen ;). das meint imap wenn ich das .../server(cert/key)_imap.pem CA ferwende, pr 14 10:37:30 xxx imap[23784]: unable to get private key from '/etc/ssl/servercerts/serverkey_imap.pem' Apr 14 10:37:30 xxx imap[23784]: TLS server engine: cannot load cert/key data Apr 14 10:37:30 xxx imap[23784]: error initializing TLS Apr 14 10:37:38 xxx imap[23784]: accepted connection Apr 14 10:37:38 xxx imap[23784]: unable to get private key from '/etc/ssl/servercerts/serverkey_imap.pem' Apr 14 10:37:38 xxx imap[23784]: TLS server engine: cannot load cert/key data Apr 14 10:37:38 xxxx imap[23784]: error initializing TLS da scheint entweder mit dem Umbenennen oder dem export was nicht zu stimmen ? -- mit freundlichen Grüßen / best Regards Günther J. Niederwimmer -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Günther J. Niederwimmer wrote:
Hallo,
Am Montag, 14. April 2008 10:36:32 schrieb Günther J. Niederwimmer:
Am Montag, 14. April 2008 10:12:18 schrieb Ralf Prengel:
Günther J. Niederwimmer schrieb:
Wo ist der Fehler im YaST2-ca-manager oder bei mir ?? Wie steht es mit den Rechten der Dateien. Läuft imap ggf. chrooted? Was steht in /var/log/warn messages mail? 0664 root root wie es YaST2 erzeugt.
nein imap läuft nicht chrooted.
im Moment finde ich die Meldung wegen dem öffentlichen Schlüssel nicht, jedefalls lehnt kmail die Verbindung ab wenn ich das CA für imap benutze ?
Hatte was vergessen ;).
das meint imap wenn ich das .../server(cert/key)_imap.pem CA ferwende,
pr 14 10:37:30 xxx imap[23784]: unable to get private key from '/etc/ssl/servercerts/serverkey_imap.pem' Apr 14 10:37:30 xxx imap[23784]: TLS server engine: cannot load cert/key data Apr 14 10:37:30 xxx imap[23784]: error initializing TLS Apr 14 10:37:38 xxx imap[23784]: accepted connection Apr 14 10:37:38 xxx imap[23784]: unable to get private key from '/etc/ssl/servercerts/serverkey_imap.pem' Apr 14 10:37:38 xxx imap[23784]: TLS server engine: cannot load cert/key data Apr 14 10:37:38 xxxx imap[23784]: error initializing TLS
ENDLICH mal Logmeldungen. (^-°) Im Prinzip steht doch alles da, du musst jetzt nur noch prüfen, ob der private key, mit dem das Zertifikat /etc/ssl/servercerts/serverkey_imap.pem erzeugt wurde, existiert und cyrus Zugriff darauf hat. Was steht denn bei dir in /etc/imapd.conf für die beiden Keys? Gibt es diese Keys? Wie sind die Zugriffsrechte? tls_cert_file: tls_key_file: Einer der bei den Optionen hier könnte auch nicht schaden, ist aber nicht zwingend erforderlich. -- Sandy Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo, Am Montag, 14. April 2008 13:24:17 schrieb Sandy Drobic:
Am Montag, 14. April 2008 10:12:18 schrieb Ralf Prengel:
Wo ist der Fehler im YaST2-ca-manager oder bei mir ??
Wie steht es mit den Rechten der Dateien. Läuft imap ggf. chrooted? Was steht in /var/log/warn messages mail?
0664 root root wie es YaST2 erzeugt.
nein imap läuft nicht chrooted.
im Moment finde ich die Meldung wegen dem öffentlichen Schlüssel nicht, jedefalls lehnt kmail die Verbindung ab wenn ich das CA für imap benutze?
Hatte was vergessen ;).
das meint imap wenn ich das .../server(cert/key)_imap.pem CA ferwende,
pr 14 10:37:30 xxx imap[23784]: unable to get private key from '/etc/ssl/servercerts/serverkey_imap.pem' Apr 14 10:37:30 xxx imap[23784]: TLS server engine: cannot load cert/key data Apr 14 10:37:30 xxx imap[23784]: error initializing TLS Apr 14 10:37:38 xxx imap[23784]: accepted connection Apr 14 10:37:38 xxx imap[23784]: unable to get private key from '/etc/ssl/servercerts/serverkey_imap.pem' Apr 14 10:37:38 xxx imap[23784]: TLS server engine: cannot load cert/key data Apr 14 10:37:38 xxxx imap[23784]: error initializing TLS
ENDLICH mal Logmeldungen. (^-°)
:)).
Im Prinzip steht doch alles da, du musst jetzt nur noch prüfen, ob der private key, mit dem das Zertifikat /etc/ssl/servercerts/serverkey_imap.pem erzeugt wurde, existiert und cyrus Zugriff darauf hat.
Was steht denn bei dir in /etc/imapd.conf für die beiden Keys? Gibt es diese Keys? Wie sind die Zugriffsrechte?
tls_cert_file: /etc/ssl/servercert/servercert.pem tls_key_file: /etc/ssl/servercert/serverkey.pem tls_ca_path: /etc/ssl/certs so funktioniert es, aber alles schreit das CA ist nicht für IMAP sondern für den Rechner. tls_cert_file: /etc/ssl/servercert/servercert_imap.pem tls_key_file: /etc/ssl/servercert/serverkey_imap.pem tls_ca_path: /etc/ssl/certs funktioniert nicht, da kommt obige Fehlermeldung ? Irgenwie scheine ich yast2-CA-management nicht zu kappieren ?
Einer der bei den Optionen hier könnte auch nicht schaden, ist aber nicht zwingend erforderlich.
auch das wird nachgereicht ;) configdirectory: /var/lib/imap partition-default: /var/spool/imap sievedir: /var/lib/sieve admins: cyrus allowanonymouslogin: no autocreatequota: 0 reject8bit: no quotawarn: 90 timeout: 30 poptimeout: 10 dracinterval: 0 drachost: localhost sasl_pwcheck_method: saslauthd lmtp_overquota_perm_failure: no lmtp_downcase_rcpt: yes unixhierarchysep: yes allowplainwithouttls: yes altnamespace: no servername: imap.xxx.xxx.xxx -- mit freundlichen Grüßen / best Regards Günther J. Niederwimmer -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Günther J. Niederwimmer wrote:
Hallo,
Am Montag, 14. April 2008 13:24:17 schrieb Sandy Drobic:
Am Montag, 14. April 2008 10:12:18 schrieb Ralf Prengel:
Wo ist der Fehler im YaST2-ca-manager oder bei mir ??
Wie steht es mit den Rechten der Dateien. Läuft imap ggf. chrooted? Was steht in /var/log/warn messages mail? 0664 root root wie es YaST2 erzeugt.
nein imap läuft nicht chrooted.
im Moment finde ich die Meldung wegen dem öffentlichen Schlüssel nicht, jedefalls lehnt kmail die Verbindung ab wenn ich das CA für imap benutze?
Hatte was vergessen ;).
das meint imap wenn ich das .../server(cert/key)_imap.pem CA ferwende,
pr 14 10:37:30 xxx imap[23784]: unable to get private key from '/etc/ssl/servercerts/serverkey_imap.pem' Apr 14 10:37:30 xxx imap[23784]: TLS server engine: cannot load cert/key data Apr 14 10:37:30 xxx imap[23784]: error initializing TLS Apr 14 10:37:38 xxx imap[23784]: accepted connection Apr 14 10:37:38 xxx imap[23784]: unable to get private key from '/etc/ssl/servercerts/serverkey_imap.pem' Apr 14 10:37:38 xxx imap[23784]: TLS server engine: cannot load cert/key data Apr 14 10:37:38 xxxx imap[23784]: error initializing TLS
ENDLICH mal Logmeldungen. (^-°)
:)).
Im Prinzip steht doch alles da, du musst jetzt nur noch prüfen, ob der private key, mit dem das Zertifikat /etc/ssl/servercerts/serverkey_imap.pem erzeugt wurde, existiert und cyrus Zugriff darauf hat.
Was steht denn bei dir in /etc/imapd.conf für die beiden Keys? Gibt es diese Keys? Wie sind die Zugriffsrechte?
tls_cert_file: /etc/ssl/servercert/servercert.pem tls_key_file: /etc/ssl/servercert/serverkey.pem tls_ca_path: /etc/ssl/certs
so funktioniert es, aber alles schreit das CA ist nicht für IMAP sondern für den Rechner.
LLLLOOOOOOGGGGG!!! Deine beschreibenden Meldungen sind wenig hilfreich. Zertifikate werden immer für einen Hostnamen ausgestellt, nicht für einen Dienst. Ich würde dir auch empfehlen, für alle Dienste auf dem gleichen Server immer das selbe Zertifikat zu verwenden. Ausnahme ist nur, wenn der Zugriff auf den Dienst über einen anderen Namen erfolgt, denn dieser ist für die Clients bei der Prüfung des Zertifikats entscheidend.
tls_cert_file: /etc/ssl/servercert/servercert_imap.pem tls_key_file: /etc/ssl/servercert/serverkey_imap.pem tls_ca_path: /etc/ssl/certs
funktioniert nicht, da kommt obige Fehlermeldung ?
Dann nimm doch das Zertifikat, das funktioniert. -- Sandy Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (4)
-
Günther J. Niederwimmer -
Markus Heinze -
Ralf Prengel -
Sandy Drobic