[Eisfair] Mail mit SSL Abruf, Fragen zur Zertifikatswahl

Peter Schauder p_schauder at web.de
Fr Sep 28 15:30:44 CEST 2012 

Hi,

mein Mailserver soll mal wieder umziehen und ich habe mich
entschlossen, alles neu zu installieren, um ein paar Leichen endlich
mal loszuwerden. Also hab ich mir den ersten Account gegriffen und
entsprechend der 'alten' Konfiguration konfiguriert. Natürlich soll
die Post auch wieder per ssl gesichert abgeholt werden; das ist ja gut
im How to beschrieben. Allerdings tue ich mich hier ein wenig schwer,
das richtige Root Zertifikat zu besorgen.

Es geht um einen Web.de Account und die Abfrage des Fingerprints
brachte auch den gleichen wie auf dem Alten Server eingetragen. Soweit
so gut.
Das Zertifikat von WEB.DE hab ich auch per Cut/Paste im Verzeichnis
'/usr/local/ssl/certs' als web-de.pem abgelegt (von 
-----BEGIN CERTIFICATE-----  bis -----END CERTIFICATE-----

Dann habe ich nach dem Root Certifikat gesucht und das hier gefunden:
(vom Web.de Server)
Server certificate
subject=/C=DE/ST=Rhineland-Palatinate/L=Montabaur/O=1&1 Mail & Media
GmbH/OU=WEB.DE/CN=pop3.web.de
issuer=/C=US/O=Thawte, Inc./CN=Thawte SSL CA     

und wenn ich mir das Zertifikat über CERTS anschaue, bekomme ich:

Certificate  : /usr/local/ssl/certs/web-de.pem
  Subject    : /C=US/O=thawte, Inc./OU=Certification Services
Division/OU=(c) 2006 thawte, Inc. - For authorized use only/CN=thawte
Primary Root CA
  Valid from : Nov 17 00:00:00 2006 GMT
  Valid until: Dec 30 23:59:59 2020 GMT   

Dabei halte ich 'thawte Primary Root CA' für das Certifikat der Wahl,
oder?
Auf der Thawte Seite finde ich dann unter
'http://www.thawte.com/roots/index.html' gleich als erstes Root 1
Thawte Primary Root CA.
Auf den EIS geladen, c_rehash gestartet....geht aber nicht.

Im Fetchmail Log finde ich:

fetchmail: Server certificate verification error: unable to get local
issuer certificate
fetchmail: This means that the root signing certificate (issued for
/C=US/O=thawte, Inc./OU=Certification Services Division/OU=(c) 2006
thawte, Inc. - For authorized use only/CN=thawte Primary Root CA) is
not in the trusted CA certificate locations, or that c_rehash needs to
be run on the certificate directory. For details, please see the
documentation of --sslcertpath and --sslcertfile in the manual page.
fetchmail: Server certificate verification error: certificate not
trusted
fetchmail: Server certificate:
fetchmail: Issuer Organization: Thawte, Inc.
fetchmail: Issuer CommonName: Thawte SSL CA
fetchmail: Subject CommonName: pop3.web.de
fetchmail: Subject Alternative Name: pop3.web.de


Brauche ich das das 'Thawte SSL CA' Certifikat? Wenn es so ist, finde
ich es nicht. Kann jemand weiterhelfen?

Gruß
Peter

Mehr Informationen über die Mailingliste Eisfair