[Eisfair] Mail mit SSL Abruf, Fragen zur Zertifikatswahl

Peter Schauder p_schauder at web.de
So Sep 30 10:10:04 CEST 2012


On Fri, 28 Sep 2012 16:17:01 +0200, Juergen Edner
<juergen at eisfair.org> wrote:
Hi Jürgen,
>Hallo Peter,
erstmal vielen Dank für die schnelle und ausführliche Antwort

>das primäre Zertifikat kannst Du auch mittels folgenden Befehl
>herunterladen:
>
>/var/install/bin/certs-request-cert -writecert pop3 pop3.web.de
>
ja, geht ohne Probleme

>> Server certificate
>> subject=/C=DE/ST=Rhineland-Palatinate/L=Montabaur/O=1&1 Mail & Media
>> GmbH/OU=WEB.DE/CN=pop3.web.de
>> issuer=/C=US/O=Thawte, Inc./CN=Thawte SSL CA 
>                             ^^^^^^^^^^^^^^^^^^

>Erst wird noch das "Thawte SSL CA" gebraucht, welches Du z.B. wie folgt
>herunterladen kannst:
Ja, das hatte ich auch gesucht, aber nicht gefunden. Selbst mit den
von dir unten angegebenen Informatione kann ich es zwar runterladen,
aber selber finden kann ich es nicht. Ich finde nichtmal einen Hinweis
auf die Internetseite und wenn ich direkt auf die Seite gehe, finde
ich das Zertifikat nicht. Kannst du da noch einen Hinweis geben, wie
ich an diese Informationen selber kommen kann

>
>wget http://www.tbs-internet.com/thawte/ThawteSSLCA.crt
>-O/var/certs/ssl/certs/thawte_SSL_CA.pem
    ^^^^^^^^^^^^^^^^^^^
Das Unterverzeichnis gibt es bei mir (nicht mehr?). Hat sich das nicht
mal irgendwann auf /usr/local/ssl/certs geändert?

>
>Danach erst wird das "Thawte Primary Root CA" benötigt:
>
>wget https://www.thawte.com/roots/thawte_Primary_Root_CA.pem
>-Ovar/certs/ssl/certs/thawte_Primary_Root_CA.pem
Gleiches Problem mit dem Unterverzeichnis und https geht nicht, nur
http. Mit https gibt es 

wget https://www.thawte.com/roots/thawte_Primary_Root_CA.pem
-O/usr/local/ssl/certs/thawte_Primary_Root_CA.pem
--09:50:37--  https://www.thawte.com/roots/thawte_Primary_Root_CA.pem
           => `/usr/local/ssl/certs/thawte_Primary_Root_CA.pem'
Resolving www.thawte.com... 69.58.181.130
Connecting to www.thawte.com|69.58.181.130|:443... connected.
ERROR: Certificate verification error for www.thawte.com: unable to
get local issuer certificate
To connect to www.thawte.com insecurely, use `--no-check-certificate'.
Unable to establish SSL connection.      
>
>Schnell noch die Hashes aktualisieren:
>
>/usr/bin/ssl/c_rehash /var/certs/ssl/certs
>
getan
>Abschließend noch eine finale Prüfung durchführen und sehen dass Alles
>ok ist:
>
>/var/install/bin/certs-show-chain pop3.web.de.pem
sieht für mich gut aus:
Services # /var/install/bin/certs-show-chain  pop3.web.de.pem

| certificate: pop3.web.de.pem (e37fcb6d)
| subject    : /C=DE/ST=Rhineland-Palatinate/L=Montabaur/O=1&1 Mail & Media GmbH/OU=WEB.DE/CN=pop3.web.de
| issuer     : /C=US/O=Thawte, Inc./CN=Thawte SSL CA
|
+->| certificate: thawte_SSL_CA.pem (346c446a)
   | subject    : /C=US/O=Thawte, Inc./CN=Thawte SSL CA
   | issuer     : /C=US/O=thawte, Inc./OU=Certification Services
Division/OU=(c) 2006 thawte, Inc. - For authorized use
   |
   +->| certificate: thawte_Primary_Root_CA.pem (00673b5b)
      | subject    : /C=US/O=thawte, Inc./OU=Certification Services
Division/OU=(c) 2006 thawte, Inc. - For authorized u
      | issuer     : /C=US/O=thawte, Inc./OU=Certification Services
Division/OU=(c) 2006 thawte, Inc. - For authorized u
      |
      +-> end of chain!

aber fetchmail sieht das ganz anders:

fetchmail: starting fetchmail 6.3.21 daemon
fetchmail: awakened at Sun, 30 Sep 2012 10:02:13 (CEST)
fetchmail: Server certificate verification error: unable to get local
issuer certificate
fetchmail: This means that the root signing certificate (issued for
/C=US/O=thawte, Inc./OU=Certification Services Division/OU=(c) 2006
thawte, Inc. - For authorized use only/CN=thawte Primary Root CA) is
not in the trusted CA certificate locations, or that c_rehash needs to
be run on the certificate directory. For details, please see the
documentation of --sslcertpath and --sslcertfile in the manual page.
8444:error:14090086:SSL
routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify
failed:s3_clnt.c:951:
fetchmail: SSL connection failed.
fetchmail: socket error while fetching from xxxxxx at pop3.web.de
fetchmail: sleeping at Sun, 30 Sep 2012 10:02:13 (CEST) for 970
seconds
fetchmail: Query status=2 (SOCKET)                              

Vermutlich ist das Problem trivial, aber ich sehe es nicht.
>
>Gruß Jürgen
Gruß
Peter


Mehr Informationen über die Mailingliste Eisfair