PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : problem mit ucspi-ssl und debian-etch



Tommy_20
21.01.07, 20:10
wenn ich mit package/rts das ucspi-ssl testen möchte kommt unten angegebener fehler:



mailtest:/package/host/superscript.com/net/ucspi-ssl-0.70# package/rts
1108c1108,1111
< sslclient: fatal: unable to set cipher list
---
> sslclient: fatal: unable to SSL connectrotocol error
> sslclient: error:140740B5:SSL routines:SSL23_CLIENT_HELLO:no ciphers available
> sslclient: fatal: unable to SSL connectrotocol error
> sslclient: error:140740B5:SSL routines:SSL23_CLIENT_HELLO:no ciphers available


auf einer frischen debian-sarge installation funktioniert es ohne probleme. vor 3 wochen hab ich schon mal debian-etch installiert und da hat es auch funktioniert (leider vorm backup platte hin, also alles von vorne vor ner woche und seit dem geht es nicht). hab bereits div. change-logs durchgesehen (openssl, gcc usw.) nur nichts gesehen das auf den fehler hindeuten könnte. ev. hab ich ein package auch vergessen zu installieren?

wenn ich den fehler beim test ignoriere und es trotzdem installiere kommt bei ner verbindung im log folgender fehler:



imapd-ssl: couriertls: accept: error:140760FC:SSL routines:SSL23_GET_CLIENT_HELLO:unknown protocol
pop3d-ssl: couriertls: accept: error:140760FC:SSL routines:SSL23_GET_CLIENT_HELLO:unknown protocol


Kernel hab ich sowohl den standard 2.6.17er und 2.6.18er probiert. ich kämpfe seit ner woche damit rum und komme irgendwie nicht weiter, hab sicher schon 7-8 mal neu installiert (vmware zum glück *g*)

kann mir hier vielleicht jemand weiterhelfen?

derRichard
21.01.07, 20:27
hallo!

hast du schon ucspi-ssl neu kompiliert nach dem openssl upgrade?

hth,
//richard

Tommy_20
21.01.07, 21:00
ich habe debian-etch wie gesagt ca. 7-8 mal neu installiert (nach zig paket-installationen und sonstigen versuchen wollt ich von einem sauberen system immer neu beginnen zu testen), dann per apt-get libssl-dev und openssl drauf und dann mit package/compile ucspi kompiliert und nachher mit package/rts getestet.

wie gesagt unter sarge geht es sofort ohne probleme - auch schon probiert es unter sarge zu machen und dann dist-upgrade zu etch nur dann ging noch weniger :D

entweder es wurde in den letzten 2 wochen irgendwas an etch geändert das den fehler verursacht oder es fehlt ein package das ich vor 3 wochen installiert habe und diesmal nicht - leider hatte ich damals nicht mit dokumentiert was ich gemacht habe :(

Tommy_20
21.01.07, 21:12
hier die logs vom test:



50013
sslserver: cafile 8382 /package/host/superscript.com/net/ucspi-ssl-0.70/compile/ucspi.ca
sslserver: ccafile 8382
sslserver: cadir 8382
sslserver: cert 8382 /package/host/superscript.com/net/ucspi-ssl-0.70/compile/127.0.0.1.cert
sslserver: key 8382 /package/host/superscript.com/net/ucspi-ssl-0.70/compile/127.0.0.1.key
sslserver: param 8382 /package/host/superscript.com/net/ucspi-ssl-0.70/compile/dh1024.pem 1024
sslserver: status: 0/1
sslserver: status: 1/1
sslserver: pid 8541 from 127.0.0.1
sslserver: ok 8541 Localserver:127.0.0.1:50013 :127.0.0.1::1113
sslserver: ssl 8541 accept
sslserver: end 8541 status 0
sslserver: status: 0/1
sslserver: status: 1/1
sslserver: pid 8549 from 127.0.0.1
sslserver: ok 8549 Localserver:127.0.0.1:50013 :127.0.0.1::4423
sslserver: ssl 8549 accept
sslserver: end 8549 status 0
sslserver: status: 0/1
sslserver: status: 1/1
sslserver: pid 8560 from 127.0.0.1
sslserver: ok 8560 Localserver:127.0.0.1:50013 :127.0.0.1::3334
sslserver: ssl 8560 accept
sslserver: end 8560 status 0
sslserver: status: 0/1



50014
sslserver: cafile 8380 /package/host/superscript.com/net/ucspi-ssl-0.70/compile/ucspi.ca
sslserver: ccafile 8380
sslserver: cadir 8380
sslserver: cert 8380 /package/host/superscript.com/net/ucspi-ssl-0.70/compile/127.0.0.1.cert
sslserver: key 8380 /package/host/superscript.com/net/ucspi-ssl-0.70/compile/127.0.0.1.key
sslserver: param 8380 /package/host/superscript.com/net/ucspi-ssl-0.70/compile/dh1024.pem 1024
sslserver: status: 0/1
sslserver: status: 1/1
sslserver: pid 8412 from 127.0.0.1
sslserver: ok 8412 Localserver:127.0.0.1:50014 :127.0.0.1::4845
sslserver: ssl 8412 accept
sslserver: end 8412 status 0
sslserver: status: 0/1
sslserver: status: 1/1
sslserver: pid 8510 from 127.0.0.1
sslserver: ok 8510 Localserver:127.0.0.1:50014 :127.0.0.1::4866
sslserver: ssl 8510 accept
sslserver: end 8510 status 0
sslserver: status: 0/1
sslserver: status: 1/1
sslserver: pid 8518 from 127.0.0.1
sslserver: ok 8518 Localserver:127.0.0.1:50014 :127.0.0.1::3734
sslserver: warning: dropping connection, unable to SSL accept:protocol error
sslserver: end 8518 status 28416
sslserver: status: 0/1
sslserver: status: 1/1
sslserver: pid 8523 from 127.0.0.1
sslserver: ok 8523 Localserver:127.0.0.1:50014 :127.0.0.1::2523
sslserver: ssl 8523 accept
sslserver: end 8523 status 0
sslserver: status: 0/1



50015
sslserver: cafile 8378 /package/host/superscript.com/net/ucspi-ssl-0.70/compile/ucspi.ca
sslserver: ccafile 8378 /package/host/superscript.com/net/ucspi-ssl-0.70/compile/localhost.cert
sslserver: cadir 8378
sslserver: cert 8378 /package/host/superscript.com/net/ucspi-ssl-0.70/compile/127.0.0.1.cert
sslserver: key 8378 /package/host/superscript.com/net/ucspi-ssl-0.70/compile/127.0.0.1.key
sslserver: param 8378 /package/host/superscript.com/net/ucspi-ssl-0.70/compile/dh1024.pem 1024
sslserver: status: 0/1
sslserver: status: 1/1
sslserver: pid 8499 from 127.0.0.1
sslserver: ok 8499 Localserver:127.0.0.1:50015 localhost:127.0.0.1::4467
sslserver: ssl 8499 accept
sslserver: warning: dropping connection, no client certificate
sslserver: end 8499 status 28416
sslserver: status: 0/1
sslserver: status: 1/1
sslserver: pid 8505 from 127.0.0.1
sslserver: ok 8505 Localserver:127.0.0.1:50015 localhost:127.0.0.1::1946
sslserver: ssl 8505 accept
sslserver: warning: dropping connection, client name does not match certificate
sslserver: end 8505 status 28416
sslserver: status: 0/1
sslserver: status: 1/1
sslserver: pid 8531 from 127.0.0.1
sslserver: ok 8531 Localserver:127.0.0.1:50015 localhost:127.0.0.1::4468
sslserver: ssl 8531 accept
sslserver: end 8531 status 0
sslserver: status: 0/1



50016
sslserver: cafile 8377 /package/host/superscript.com/net/ucspi-ssl-0.70/compile/ucspi.ca
sslserver: ccafile 8377
sslserver: cadir 8377
sslserver: cert 8377 /package/host/superscript.com/net/ucspi-ssl-0.70/compile/127.0.0.1.cert
sslserver: key 8377 /package/host/superscript.com/net/ucspi-ssl-0.70/compile/127.0.0.1.key
sslserver: param 8377 /package/host/superscript.com/net/ucspi-ssl-0.70/compile/dh1024.pem 1024
sslserver: status: 0/1
sslserver: status: 1/1
sslserver: pid 8402 from 127.0.0.1
sslserver: ok 8402 Localserver:127.0.0.1:50016 localhost:127.0.0.1::50017
sslserver: ssl 8402 accept
sslserver: end 8402 status 0
sslserver: status: 0/1
sslserver: status: 1/1
sslserver: pid 8418 from 127.0.0.1
sslserver: ok 8418 Localserver:127.0.0.1:50016 localhost:127.0.0.1::50018
sslserver: ssl 8418 accept
sslserver: end 8418 status 0
sslserver: status: 0/1
sslserver: status: 1/1
sslserver: pid 8441 from 127.0.0.1
sslserver: ok 8441 Localserver:127.0.0.1:50016 localhost:127.0.0.1::50019
sslserver: ssl 8441 accept
sslserver: end 8441 status 0
sslserver: status: 0/1
sslserver: status: 1/1
sslserver: pid 8450 from 127.0.0.1
sslserver: ok 8450 Localserver:127.0.0.1:50016 localhost:127.0.0.1::4134
sslserver: ssl 8450 accept
sslserver: end 8450 status 0
sslserver: status: 0/1
sslserver: status: 1/1
sslserver: pid 8457 from 127.0.0.1
sslserver: ok 8457 Localserver:127.0.0.1:50016 localhost:127.0.0.1::2944
sslserver: ssl 8457 accept
sslserver: end 8457 status 0
sslserver: status: 0/1
sslserver: status: 1/1
sslserver: pid 8462 from 127.0.0.1
sslserver: ok 8462 Localserver:127.0.0.1:50016 localhost:127.0.0.1::50020
sslserver: ssl 8462 accept
sslserver: end 8462 status 0
sslserver: status: 0/1
sslserver: status: 1/1
sslserver: pid 8468 from 127.0.0.1
sslserver: ok 8468 Localserver:127.0.0.1:50016 localhost:127.0.0.1::4839
sslserver: ssl 8468 accept
sslserver: end 8468 status 0
sslserver: status: 0/1
sslserver: status: 1/1
sslserver: pid 8476 from 127.0.0.1
sslserver: ok 8476 Localserver:127.0.0.1:50016 localhost:127.0.0.1::4172
sslserver: ssl 8476 accept
sslserver: end 8476 status 0
sslserver: status: 0/1
sslserver: status: 1/1
sslserver: pid 8482 from 127.0.0.1
sslserver: ok 8482 Localserver:127.0.0.1:50016 localhost:127.0.0.1::3473
sslserver: ssl 8482 accept
sslserver: end 8482 status 0
sslserver: status: 0/1
sslserver: status: 1/1
sslserver: pid 8492 from 127.0.0.1
sslserver: ok 8492 Localserver:127.0.0.1:50016 localhost:127.0.0.1::3136
sslserver: ssl 8492 accept
sslserver: end 8492 status 0
sslserver: status: 0/1



50022
sslperl: cafile 8603 /package/host/superscript.com/net/ucspi-ssl-0.70/compile/ucspi.ca
sslperl: ccafile 8603
sslperl: cadir 8603
sslperl: cert 8603 /package/host/superscript.com/net/ucspi-ssl-0.70/compile/127.0.0.1.cert
sslperl: key 8603 /package/host/superscript.com/net/ucspi-ssl-0.70/compile/127.0.0.1.key
sslperl: param 8603 /package/host/superscript.com/net/ucspi-ssl-0.70/compile/dh1024.pem 1024
sslperl: status: 0/1
sslperl: status: 1/1
sslperl: pid 8605 from 127.0.0.1
sslperl: ok 8605 Localserver:127.0.0.1:50022 localhost:127.0.0.1::2879
sslperl: ssl 8605 accept
log: Hello, World! (1): here you are
sslperl: done 8605
sslperl: pid 8605 from 127.0.0.1
sslperl: ok 8605 Localserver:127.0.0.1:50022 localhost:127.0.0.1::1178
sslperl: ssl 8605 accept
log: Hello, World! (2): here you are
sslperl: end 8605 status 0
sslperl: status: 0/1
sslperl: status: 1/1
sslperl: pid 8618 from 127.0.0.1
sslperl: ok 8618 Localserver:127.0.0.1:50022 localhost:127.0.0.1::1853
sslperl: ssl 8618 accept
log: Hello, World! (1): here you are
sslperl: done 8618
sslperl: pid 8618 from 127.0.0.1
sslperl: ok 8618 Localserver:127.0.0.1:50022 localhost:127.0.0.1::3504
sslperl: ssl 8618 accept
log: Hello, World! (2): here you are
sslperl: end 8618 status 0
sslperl: status: 0/1
sslperl: status: 1/1
sslperl: end 8633 status 15
sslperl: status: 0/1
50022
sslperl: cafile 8643 /package/host/superscript.com/net/ucspi-ssl-0.70/compile/ucspi.ca
sslperl: ccafile 8643
sslperl: cadir 8643
sslperl: cert 8643 /package/host/superscript.com/net/ucspi-ssl-0.70/compile/127.0.0.1.cert
sslperl: key 8643 /package/host/superscript.com/net/ucspi-ssl-0.70/compile/127.0.0.1.key
sslperl: param 8643 /package/host/superscript.com/net/ucspi-ssl-0.70/compile/dh1024.pem 1024
sslperl: status: 0/1
sslperl: status: 1/1
sslperl: pid 8645 from 127.0.0.1
sslperl: ok 8645 Localserver:127.0.0.1:50022 localhost:127.0.0.1::2852
sslperl: ssl 8645 accept
log: NOW=
log: changed environment
sslperl: done 8645
sslperl: end 8645 status 15
sslperl: status: 0/1
50022
sslperl: cafile 8653 /package/host/superscript.com/net/ucspi-ssl-0.70/compile/ucspi.ca
sslperl: ccafile 8653
sslperl: cadir 8653
sslperl: cert 8653 /package/host/superscript.com/net/ucspi-ssl-0.70/compile/127.0.0.1.cert
sslperl: key 8653 /package/host/superscript.com/net/ucspi-ssl-0.70/compile/127.0.0.1.key
sslperl: param 8653 /package/host/superscript.com/net/ucspi-ssl-0.70/compile/dh1024.pem 1024
sslperl: status: 0/1
sslperl: status: 1/1
sslperl: pid 8655 from 127.0.0.1
sslperl: ok 8655 Localserver:127.0.0.1:50022 localhost:127.0.0.1::3288
sslperl: ssl 8655 accept
sslperl: done 8655
sslperl: end 8655 status 15
sslperl: status: 0/1

[WCM]Manx
21.01.07, 21:37
Hi!

Ich nehm immer den patch vom André Oppermann:
http://www.nrg4u.com/qmail/ucspi-tcp-ssl-20050405.patch.gz

Grüße

Manx

Tommy_20
21.01.07, 21:42
und den patch dann statt dem ucspi-ssl nehmen? also nur noch ucspi-tcp dann mit dem patch drinnen?

derRichard
21.01.07, 21:45
hallo!

ja. ich verwende auch ucspi-tcp mit dem genannten ssl-patch.

//richard

[WCM]Manx
21.01.07, 21:46
... djbs ucspi-tcp nehmen und mit Andrés patch patchen.
Dann hast Du einen normalen tcpserver nur eben mit einer Option mehr, nämlich "-n certfile".

Grüße

Manx

Tommy_20
21.01.07, 22:27
so passt die zeile dann?

tcpserver -vR -l mailserver.xxx.xxx -c 30 -u 1002 -g 1001 -n /var/qmail/control/servercert.pem -x /etc/tcp.smtp.cdb 0 465 qmail-smtpd mailserver.xxx.xxx /home/vpopmail/bin/vchkpw /bin/true

also TLS funktioniert aber stell ich auf SSL um im Thunderbird dann reagiert der smtp nicht :(

Tommy_20
21.01.07, 23:08
EDIT: mein fehler *g*

irgendwie funktioniert das doch mit ucspi-ssl (smtp, smtp+tls, smtp+ssl, pop3, pop3+ssl)

werd das morgen nochmal genau anschauen bzw. alles löschen und neu installieren damit das was ich wirklich brauche sauber installiert ist und mitschreiben was ich mache :D

das mit ucspi-tcp + tls patch funktioniert dann aber noch nicht in verbindung mit ssl - wobei wenns mit dem ucspi-ssl doch geht würd mir das ja reichen :D

Tommy_20
22.01.07, 08:02
Es funktioniert alles mit ucspi-ssl jetzt einwandfrei (nur das rts-script gibt noch die gleichen fehler aus).

Für mich sieht es so aus als wurde in openssl etwas geändert und zwar, das man bei ner verbindung nicht mehr die cipher-liste bekommt sondern der client muss dem server sagen wie er verschlüsseln will und der server antwortet dann nur ob er es kann oder nicht :D

ich habe nur mit dem rts bzw. mit telnet probiert und daher die fehler, da beidemale nicht gesagt wird wie man verschlüsseln will sondern quasi vom server wissen will wie er verschlüsseln kann (und das sagt er einem ja nimmer) :D

it's not a bug, it's a feature (und hat mich ne woche lang viele stunden gekostet)