PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : SSL Server Zertifikate



schani
05.10.15, 17:43
Hallo zusammen,
ich habe aktuell folgendes Problem:
Vor einem Jahr habe ich mir für einen Mailserver ein kostenloses Zertifikat von StartSSL geholt und für ASSP, Postfix und Dovecot eingerichtet. Seit einem Jahr funktioniert das mit SMTP POP und IMAP gut.
Jetzt ist es ausgelaufen und ich habe mir ein neues Zertifikat geholt.
Eine ssl.key, ssl.crt und das ssl.key ohne Passwort
Dazu gibt es dann noch ein "Class 1 Intermediate Server CA File".
Ich hatte die 4 Dateien zentral abgelegt und von ASSP, Postfix und Dovecot darauf zugegriffen.
Jetzt habe ich bei den Files die Inhalte gegen die neuen Inhalte ersetzt und alle Dienst neu gestartet.
Aber das Zertifikat wird nicht erkannt, bzw. beim IMAP Login wird ein Fehler aufgerufen.
"SSL routines:SSL3_READ_BYTES:sslv3 alert bad certificate"

Woran kann das liegen? Was mache ich da falsch?

Besten Dank für Hilfe

Christian

nopes
05.10.15, 17:50
Hab kein Server, aber ich habe seit einigen Jahren so ein Zertifikat um Mails zu Signieren, was auch prima klappt. Als das Zertifikat zum ersten mal abgelaufen ist, habe ich mir blöderweise einfach ein neues erstellt, was dumm war, denn nun sind alle meine Mails mit dem alten Zertifikat ungültig. Richtig wäre es gewesen, dass vorhanden Zertifikat zu erneuern/verlängern. Ich vermute, dass du im Grunde das gleiche Problem hast.

schani
05.10.15, 18:00
Das Problem dabei ist schon das ich mich nicht mehr im StartSSL Bereich anmelden konnte, da das Jahr schon vorbei war. Aber so wie ich es sehe kann man es dort gar nicht verlängern?

Das mit den Mails verstehe ich, aber bei einem Server sollte man die Zertifikate doch nur austauschen können, oder?

BetterWorld
05.10.15, 18:08
ich hatte ein ähnliches Problem.

Die Lösung für mich war, statt FF Chromium zu nehmen, um bei startSSL alles wieder richten zu können.
Was aber lediglich deine Probleme bei startSSL beheben kann.

Nicht die Invalidität nach einem Jahr.
Da wirst du dich richtig echt und kostenpflichtig verifizieren lassen müssen.

schani
05.10.15, 18:10
Ich konnte aber wieder ein neues Zertifikat auf die Domain ausstellen. Das FF Problem hatte ich auch, aber das lies sich lösen.

BetterWorld
05.10.15, 19:57
Statt lesen und reposten, hätte ich wohl lesen&verstehen sollen.

Hast du Zugriff auf startSSL im FF gelöst?
Wenn ja, würde mich das interessieren.

Nur so ne Idee: Hast du das ssl.crt mit deinem CA intermediate neu erzeugt?

schani
05.10.15, 20:07
Ich konnte mich vor Wochen mal nicht mit FF einloggen und hab dann per Chrome eingeloggt, das Cert File exportiert und in FF importiert. Das hat irgendwie funktioniert.

Was meinst Du mit meinem CA intermediate? Das ist doch öffentlich. oder?
Du meinst ich soll das alte CA File nehmen und das neue crt File daraus generieren? Geht das?

Ich hab nur einen normelen durchlauf auf der StartSSL Seite gemacht un ein neues ssl.key und ssl.crt File erstellt. Dann das ssl.key File ohne passwort generiert und ein neues "sub.class1.server.ca.pem" File runtergeladen. Die Files gegen die alten ausgetauscht. Pfade überprüft und die Dienste neu gestartet.

Christian

fork
05.10.15, 21:59
Ich würde mal vermuten, dass das Zertifikat im Doofcot falsch eingerichtet ist. Das Thema ist ja durchaus etwas gewöhnungsbedürftig, wenn man da nicht ständig mit zu tun Hat.

Was steht im logfile bzgl. Ssl fehler drin?

schani
05.10.15, 22:18
Ich habe mit jemanden vom StartSSL Forum gesprochen der mir Anhand der Logfile Einträge geholfen hat.
Es ist alles richtig eingerichtet worden. Nur das mein Thunderbird und auch Firefox dort eine lange Reverse Proxy Zeit drin stehen haben. Es dauert also sehr lange (12h) bis TB das neue Zertifikat erkennt. Mann kann aber auch unter Einstellungen / Erweitert / Zertifikate folgendes Ausklicken/abschalten:
"Aktuelle Gültigkeit vonZertifikaten durch Anfrage bei OCSP-Server bestätigen lassen"

Der OSCP Server speichert die alten Certs zwischen und blockt dadurch das neue ab.

Ich hatte erst einen neuen Email Client installiert, mit dem alles funktionierte.
Mal sehen, aber bis jetzt funktionieren die neuen Certs

Danke für Eure Hilfe

Christian

fork
05.10.15, 22:44
Du kannst auch mittels openssl auf der Kommandozeile (von Linux aus) das Zertifikat überprüfen:


LANG=C openssl s_client -host DEINSERVER.DEINEDOMAIN.DE \
-port 143 -starttls imap -CApath /etc/ssl/certificates \
</dev/null 2>&1 | grep -i "verify return code"

Verify Return Code: 0 bedeutet "Alles OK"