Hallo Al,
Am Sat, 26 Mar 2011 17:12:57 +0100
schrieb Al Bogner
Am Sa, 26 Mär 2011 08:45:33 CET schrieb Dieter Kluenter:
Hallo Dieter,
Die Suse-ML leite ich an gmail weiter, nun kommt _fallweise_ die Meldung: "fetchmail: pop.gmail.com-Fingerabdrücke stimmen nicht überein!" Ich habe den Verdacht, dass es davon abhängt, welchen Server man gerade erwischt. Frage ich manuell mit fetchmail ab, dann stimmten die Keys immer überein. Wie finde ich denn heraus, mit welchem Key ich mich mit fetchmail bei GMail identifizieren muss?
openssl s_client -connect pop.gmail.com:110 -starttls pop3 \ -CApath /etc/ssl/certs -showcerts
gmail kann kein starttls, habe ich gerade getestet, auf ein Neues :-)
openssl s_client -connect pop.gmail.com:995 -tls1 -CApath /etc/ssl/certs -showcerts
oder noch etwas komfortabler, indem wir das Ergebnis direkt nach x509 pipen openssl s_client -connect pop.gmail.com:995 -tls1 \ -CApath /etc/ssl/certs /dev/null | openssl x509 -dates \ -fingerprint -md5 -noout
Und noch eine kleine Verbesserung, wir möchten ja auch wissen, ob wir mit dem richtigen Host kommunizieren also noch -subject hinzufügen:
dieter@rubin:~> openssl s_client -connect pop.gmail.com:995 -tls1 /dev/null | openssl x509 -subject -dates -fingerprint -md5 -noout
Und hier ist dann auch gleich das Ergebnis:
subject= /C=US/ST=California/L=Mountain View/O=Google Inc/CN=pop.gmail.com notBefore=Apr 22 20:11:23 2010 GMT notAfter=Apr 22 20:21:23 2011 GMT MD5 Fingerprint=6B:C4:63:05:87:1E:72:88:ED:81:C5:A2:51:6B:B7:B6
Ich habe hier:
options ssl sslfingerprint '6B:C4:63:05:87:1E:72:88:ED:81:C5:A2:51:6B:B7:B6' sslcertck sslcertpath /etc/ssl/certs
und manchmal kommt:
fetchmail: pop.gmail.com fingerprints do not match! 140046380181160:error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed:s3_clnt.c:1060: fetchmail: SSL connection failed.
Dann hole dir das Certificate von den entsprechenden Hosts, vermutlich ist das dann ein altes Certificate, dessen Wert für 'notAfter: möglicherweise schon abgelaufen ist. -Dieter -- Dieter Klünter | Systemberatung http://dkluenter.de GPG Key ID:DA147B05 53°37'09,95"N 10°08'02,42"E -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org