[Eisfair] E1: Umstellung auf SSL-Mail
Stefan Puschek
stefan.puschek at t-online.de
Fr Dez 6 14:16:05 CET 2013
Hallo Marcus,
Marcus Roeckrath <marcus.roeckrath at gmx.de> schrieb:
>
> Im Nachhinein ist das alles weniger kompliziert, als es zunächst aussah.
>
> Wenn es die Gegenstelle anbietet, sendet exim in der Standardeinstellungen
> immer verschlüsselt; es ist nichts umzukonfigurieren.
>
> Wenn Du in der mail-Konfiguration den Parameter SMARTHOST_FORCE_TLS auf yes
> setzt, will exim zusätzlich noch das Zertifikat und das Widerufszertifikat
> der Gegenstelle prüfen.
>
> Schlägt das fehl, wird die Verbindung unterbrochen.
>
> Dazu musst Du:
>
> 1. certs auf 1.2.7 updaten
gemacht - ist 1.2.7
> 2. Die Zertifikate (wie für fetchmail, aber nun z.B. für mail.provider.xx)
> des Mailproviders und eventuell fehlende holen, im certs-Verzeichnis als
> pem-Datei ablegen und rehashen. Die Zertifikatskette muss vollständig sein.
gemacht und überprüft
> 3. In einer Konsole einmal "/var/install/bin/certs-update-crl -grepuri"
das klappt nicht: der Download dauert "ewig" und dann kommen Fehler…
Download certificate revocation list(s)
downloading file(s) ...
- http://www.cacert.org/revoke.crl - ok.
- http://crl.thawte.com/ThawtePremiumServerCA.crl - ok.
- http://www.trustcenter.de/crl/v2/tcclass0.crl - ok.
- http://www.trustcenter.de/crl/v2/tcclass1.crl - ok.
- http://www.trustcenter.de/crl/v2/tcclass2.crl - ok.
- http://www.trustcenter.de/crl/v2/tcclass3.crl - ok.
- http://www.trustcenter.de/crl/v2/tcclass4.crl - ok.
- http://www.trustcenter.de/crl/v2/tc_class_3_european_bridge_l1_ca_I.crl - ok.
- http://www.trustcenter.de/crl/v2/tc_class2_L1_CA_III.crl - ok.
- http://www.trustcenter.de/crl/v2/tc_class3_L1_CA_III.crl - ok.
- http://ca.in-berlin.de/cgi-bin/rootcrl-G2 - ok.
- http://ca.in-berlin.de/cgi-bin/servercrl-G2 - ok.
- http://ca.in-berlin.de/cgi-bin/usercrl-G2 - ok.
- https://www.cacert.org/revoke.crl - ok.
- http://crl.serverpass.telesec.de/rl/TeleSec_ServerPass_DE-1.crl - ok.
- http://crl.serverpass.telesec.de/crt/TeleSec_ServerPass_DE-1.cer - ok.
- http://svr-ov-crl.thawte.com/ThawteOV.crl - ok.
- http://SVRIntl-G3-crl.verisign.com/SVRIntlG3.crl - ok.
- http://crl.serverpass.telesec.de/rl/DT_ROOT_CA_2.crl - ok.
- http://crl.serverpass.telesec.de/crt/DT_ROOT_CA_2.cer - ok.
- http://crl.thawte.com/ThawtePCA.crl - ok.
- http://crl.verisign.com/pca3-g5.crl - ok.
- http://crl.verisign.com/pca3.crl - ok.
converting file(s) to pem-format ...
unable to load CRL
3073914504:error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong
tag:tasn_dec.c:1319:
3073914504:error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1
error:tasn_dec.c:381:Type=X509_ALGOR
3073914504:error:0D08303A:asn1 encoding routines:ASN1_TEMPLATE_NOEXP_D2I:nested
asn1 error:tasn_dec.c:751:Field=sig_alg, Type=X509_CRL_INFO
3073914504:error:0D08303A:asn1 encoding routines:ASN1_TEMPLATE_NOEXP_D2I:nested
asn1 error:tasn_dec.c:751:Field=crl, Type=X509_CRL
unable to load CRL
3074483848:error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong
tag:tasn_dec.c:1319:
3074483848:error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1
error:tasn_dec.c:381:Type=X509_ALGOR
3074483848:error:0D08303A:asn1 encoding routines:ASN1_TEMPLATE_NOEXP_D2I:nested
asn1 error:tasn_dec.c:751:Field=sig_alg, Type=X509_CRL_INFO
3074483848:error:0D08303A:asn1 encoding routines:ASN1_TEMPLATE_NOEXP_D2I:nested
asn1 error:tasn_dec.c:751:Field=crl, Type=X509_CRL
updating hashes ...
finished.
Press ENTER to continue
weisst Du was da falsch läuft?
Groetjes
Stefan
Mehr Informationen über die Mailingliste Eisfair