Hi,

ich habe hier einen Mailserver laufen auf den ich mittels Cyrus per TLS zugreife. Nachdem ich meinen Servernamen geändert habe und Thunderbird sich ständig beschwert hat, dass das Zertifikat nicht mit dem Rechnernamen übereinstimmt, wollte ich das Zertifikat aktualisieren und habe mich an diverse Anleitungen im Internet gehalten, siehe hier:
http://postfix.state-of-mind.de/patrick.koetter/smtpauth/
http://www.projektfarm.com/en/support/howto/postfix_smtp_auth_tls.html
http://www.tldp.org/HOWTO/Postfix-Cyrus-Web-cyradm-HOWTO/cyrus-config.html
http://yocum.org/faqs/postfix-tls-sasl.html

Wenn ich jetzt versuche über TLS auf den Server zuzugreifen kommt folgender Fehler:

Feb 2 23:23:49 minasmorgul cyrus/imapd[21948]: TLS engine: cannot load CA data
Feb 2 23:23:49 minasmorgul cyrus/imapd[21948]: unable to get certificate from '/etc/ssl/private/imapd.crt'
Feb 2 23:23:49 minasmorgul cyrus/imapd[21948]: TLS engine: cannot load cert/key data
Feb 2 23:23:49 minasmorgul cyrus/imapd[21948]: error initializing TLS
Feb 2 23:23:49 minasmorgul cyrus/imapd[21948]: Fatal error: tls_init() failed
Feb 2 23:23:49 minasmorgul cyrus/master[20843]: process 21948 exited, status 75
Feb 2 23:23:49 minasmorgul cyrus/master[20843]: service imaps pid 21948 in BUSY state: terminated abnormally
Feb 2 23:23:57 minasmorgul cyrus/master[21949]: about to exec /usr/lib/cyrus/bin/imapd
Feb 2 23:23:57 minasmorgul cyrus/imaps[21949]: executed
Feb 2 23:23:58 minasmorgul cyrus/imapd[21949]: accepted connection
Feb 2 23:23:58 minasmorgul cyrus/imapd[21949]: TLS engine: cannot load CA data
Feb 2 23:23:58 minasmorgul cyrus/imapd[21949]: unable to get certificate from '/etc/ssl/private/imapd.crt'
Feb 2 23:23:58 minasmorgul cyrus/imapd[21949]: TLS engine: cannot load cert/key data
Feb 2 23:23:58 minasmorgul cyrus/imapd[21949]: error initializing TLS
Feb 2 23:23:58 minasmorgul cyrus/imapd[21949]: Fatal error: tls_init() failed
Feb 2 23:23:58 minasmorgul cyrus/master[20843]: process 21949 exited, status 75
Feb 2 23:23:58 minasmorgul cyrus/master[20843]: service imaps pid 21949 in BUSY
Inzwischen weiß ich wirklich nicht mehr weiter, weil egal welche Anleitung ich nehme, alles irgendwie nicht klappt. Die openssl-Version ist 0.9.7c-5 aus Debian unstable.
Danke für eure Hilfe

Urbanus

berechtigungen? sind die zertifikate im DER-format anstatt im PEM-format? key mit passphrase verschlüsselt?

kontrolliere das zertifikate mit:

openssl x509 -text -noout -inform pem -in <file>

da sollte OHNE passphaseabfrage etwas sinnvolles rauskommen.


-j

minasmorgul:/etc/ssl/private# openssl x509 -text -noout -inform pem -in cacert.pem
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 0 (0x0)
Signature Algorithm: md5WithRSAEncryption
Issuer: C=DE, ST=Some-State, O=Mittelerde Internet Security, CN=minasmorgul.mittelerde.lan/emailAddress=postmaster@minasmorgul.mittelerde.lan
Validity
Not Before: Feb 2 22:21:04 2004 GMT
Not After : Jan 30 22:21:04 2014 GMT
Subject: C=DE, ST=Some-State, O=Mittelerde Internet Security, CN=minasmorgul.mittelerde.lan/emailAddress=postmaster@minasmorgul.mittelerde.lan
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public Key: (1024 bit)
Modulus (1024 bit):
00:a0:7e:87:ab:d6:7b:f9:6b:93:31:66:4e:d2:35:
dc:05:f9:ce:4a:6c:0c:14:ac:ee:59:49:09:c2:4e:
2a:23:f3:65:b7:76:cc:6d:5f:ee:5d:ea:b9:32:5a:
be:86:04:a5:f7:3a:57:17:5a:c0:e8:fa:6d:e9:31:
e0:92:1c:28:81:93:25:39:df:7b:a0:8c:53:0f:00:
cc:5c:b7:e9:a3:d3:7a:3c:7a:96:36:5e:af:a1:89:
b9:b4:72:bc:0a:5e:59:7f:96:0a:b0:9b:af:8f:8c:
ae:36:62:f7:34:05:c7:37:50:fc:07:9a:20:f0:9e:
50:3a:cb:a0:8c:d5:ba:94:a3
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Subject Key Identifier:
A4:15:6B:73:06:33:10:24:F6:BB:46:82:C1:4E:0F:6F:D1 :A1:B3:DF
X509v3 Authority Key Identifier:
keyid:A4:15:6B:73:06:33:10:24:F6:BB:46:82:C1:4E:0F :6F:D1:A1:B3:DF
DirName:/C=DE/ST=Some-State/O=Mittelerde Internet Security/CN=minasmorgul.mittelerde.lan/emailAddress=postmaster@minasmorgul.mittelerde.la
serial:00

X509v3 Basic Constraints:
CA:TRUE
Signature Algorithm: md5WithRSAEncryption
16:31:20:15:4f:e0:79:0a:a1:cf:7b:95:fe:a0:3d:81:2b :29:
43:fc:60:f0:c8:4f:67:75:a4:fb:a3:2d:54:aa:09:13:2c :8f:
cc:c3:a2:f8:43:0a:be:b7:58:d6:32:e1:3a:0b:7d:da:5d :63:
a4:a7:d5:cf:4f:fe:3f:73:05:96:12:f6:a6:96:a2:5c:1d :91:
6c:7d:41:0b:2e:48:cb:78:a1:61:ec:65:8f:6d:ec:13:b2 :3a:
fc:c7:d8:43:05:7b:93:88:57:1c:a7:5e:64:37:91:e6:3c :c2:
e3:bd:6d:b6:7f:e4:ed:29:59:90:62:b6:a1:e4:51:b4:76 :27:
20:38

minasmorgul:/etc/ssl/private# openssl x509 -text -noout -inform pem -in imapd.crt
Certificate:
Data:
Version: 1 (0x0)
Serial Number: 0 (0x0)
Signature Algorithm: md5WithRSAEncryption
Issuer: C=DE, ST=Some-State, O=Mittelerde Internet Security, OU=IMAP Server, CN=minasmorgul.mittelerde.lan/emailAddress=postmaster@minasmorgul.mittelerde.lan
Validity
Not Before: Feb 2 22:19:07 2004 GMT
Not After : Jan 30 22:19:07 2014 GMT
Subject: C=DE, ST=Some-State, O=Mittelerde Internet Security, OU=IMAP Server, CN=minasmorgul.mittelerde.lan/emailAddress=postmaster@minasmorgul.mittelerde.lan
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public Key: (1024 bit)
Modulus (1024 bit):
00:ac:70:bb:25:c0:66:54:8c:fb:d5:84:3b:51:5b:
5f:88:92:43:24:f2:d4:e1:91:de:16:23:40:96:56:
8d:36:38:40:e1:87:39:aa:81:a7:bb:11:27:6e:ce:
1d:73:3b:cc:81:7c:a8:3c:6d:c7:56:c9:cd:0a:ae:
de:4c:14:61:16:a3:14:10:d5:d3:be:d3:a3:c9:66:
f4:d6:e2:30:52:5e:5c:c3:cc:19:9f:2e:b7:4e:72:
db:2c:6b:21:23:d1:70:2e:c2:0b:be:cd:44:99:35:
60:6c:a0:b9:59:79:c3:b7:24:a9:d8:a1:27:25:50:
16:a7:dd:8f:fd:a0:07:5d:75
Exponent: 65537 (0x10001)
Signature Algorithm: md5WithRSAEncryption
6a:e5:5d:5b:0c:0f:79:c2:7b:2d:14:e1:22:3c:d3:a9:82 :30:
a4:4d:c9:38:0e:89:31:5a:c2:8b:a2:4c:f9:ce:b5:95:60 :49:
91:04:66:d2:9d:eb:45:f1:62:26:54:fe:82:75:6e:df:f9 :f6:
5e:04:8c:c7:b9:d1:96:88:b6:57:18:80:3f:8c:6e:1e:4c :5a:
b6:d2:ae:b6:66:83:b6:44:48:97:7f:86:7f:fb:c8:57:12 :e1:
89:e9:fd:2d:2c:37:d3:03:2b:40:01:56:28:73:8a:bf:9e :67:
8f:47:23:27:f5:fc:36:b2:57:09:54:38:37:c8:f4:76:20 :43:
49:23
Sieht sinnvoll aus...
Die Rechte sind auf cyrus:mail gesetzt und das ist so ok, denke ich.

Original geschrieben von Urbanus

Die Rechte sind auf cyrus:mail gesetzt und das ist so ok, denke ich.

Und die Rechte des Verzeichnises /etc/ssl/private/ ?

D'ooh, das war's! :rolleyes:
Ich hatte das Verzeichnis "private" der von mir angelegten Gruppe "certs" zugeordnet und die Rechte mit chmod g+r natürlich nur auf Lesen gesetzt. Hab total vergessen, dass das ja ein Verzeichnis ist und es damit auch ausführbar sein muss, damit es überhaupt gelesen werden kann.
Ein einfaches chmod g+x hat geholfen. Danke für den Tipp!
*mirselbstandenkopfschlagweilichsowassimplesüberse henhabe*