[Eisfair] E1: Umstellung auf SSL-Mail
Marcus Roeckrath
marcus.roeckrath at gmx.de
Sa Nov 30 21:28:00 CET 2013
Hallo Jürgen,
Juergen Edner wrote:
> Wird der Parameter SMARTHOST_FORCE_TLS='yes' gesetzt, so versucht Exim
> grundsätzlich auch die Zertifikatswiderrufsliste (CRL) des Zertifikats-
> ausstellers zu prüfen um sicher zu stellen, dass das Zertifikat nicht
> zwischenzeitlich ungültig geworden ist.
> Wie kommt diese CRL nun auf den lokalen Rechner?
>
> /var/install/bin/certs-update-crl -grepuri
Schmeißt zweimal folgende Meldungen raus:
unable to load CRL
3074541192:error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong
tag:tasn_dec.c:1319:
3074541192:error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested
asn1 error:tasn_dec.c:381:Type=X509_ALGOR
3074541192:error:0D08303A:asn1 encoding
routines:ASN1_TEMPLATE_NOEXP_D2I:nestedasn1
error:tasn_dec.c:751:Field=sig_alg, Type=X509_CRL_INFO
3074541192:error:0D08303A:asn1 encoding
routines:ASN1_TEMPLATE_NOEXP_D2I:nestedasn1 error:tasn_dec.c:751:Field=crl,
Type=X509_CRL
Ein kaputtes Zertifikat?
> Anschließend aktiviert man die regelmäßige Hintergrundaktualisierung der
> CRLs durch setzen von CERTS_CRL_CRON='yes'. Dadurch wird regelmäßig
> der folgende Befehl ausgeführt, welcher die CRLS im Verzeichnis
> /usr/local/ssl/crl aktualisiert.
>
> /var/install/bin/certs-update-crl -quiet
Das hatte ich immer schon.
>> Wäre damit der Umstellung von gmx und Co nicht schon längst genüge getan?
>
> Dies hängt davon ab, ob Du vom E-Mail Abruf oder Versand sprichst,
Es ging um den Versand, das mit dem Abruf war eigentlich kaum das Problem.
> welche tcp-Ports der Provider zukünftig verwendet für POP3S, IMAPS,
> SMTPS oder SSMTP oder ob STARTTLS über z.B. den Port 25/tcp angeboten
> wird. Beim E-Mail Versand könnte es vermutlich ohne großes Zutun
> funktionieren.
Wäre esnun nicht mehr schwer im Wiki kurze Anweisungen gemeinschaftlich
auszuarbeiten.
Kurze allgemeine Anweisungen zu Fetchmail und smtp (Holen von Zertifikaten
(openssl-Aufruf), Rehash und Ermittelung des Fingerprints) und je eine
Tabelle für Fetchmail und Exim:
Provider Protokoll Port Zertifikats-URL
oder so.
--
Gruss Marcus
Mehr Informationen über die Mailingliste Eisfair