[Eisfair] [e1] Mail 1.11.6 Problem mit SSL

Detlef Paschke schabau at t-online.de
Sa Okt 26 17:40:29 CEST 2013 

"Detlef Paschke"  schrieb
>
> "Juergen Edner"  schrieb
>
> > ich habe Dir die Zertifikate gerade per PM zugesandt.
>
> Die Ausgabe sieht nun so aus:
> /usr/local/ssl/certs/securepop.t-online.de.pem: OK
> /usr/local/ssl/certs/verisign-international-server-ca-class-3.pem: OK
> /usr/local/ssl/certs/PCA-3G5.pem: OK
>
> Aber noch gibt es einen Fehler im log:
> socket error while fetching from schabau at t-online.de@securepop.t-online.de
> fetchmail: Query status=2 (SOCKET)
> fetchmail: Server certificate verification error: unable to get local 
> issuer
> certificate
> fetchmail: Broken certification chain at: /C=US/O=VeriSign, Inc./OU=Class 
> 3
> Public Primary Certification Authority
> fetchmail: This could mean that the server did not provide the 
> intermediate
> CA's certificate(s), which is nothing fetchmail could do anything about.
> For details, please see the README.SSL-SERVER document that ships with
> fetchmail.
> fetchmail: This could mean that the root CA's signing certificate is not 
> in
> the trusted CA certificate location, or that c_rehash needs to be run on 
> the
> certificate directory. For details, please see the documentation
> of --sslcertpath and --sslcertfile in the manual page.
> fetchmail: OpenSSL reported: error:14090086:SSL
> routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
> fetchmail: SSL connection failed.
>

Ich habe es Tatsächlich geschafft :-)

Im Archiv habe ich folgenden Befehl von Juergen gefunden:
su exim -s /bin/sh -c "export LANG=C;strace -f -o /tmp/fetch-trace.txt 
/usr/local/bin/fetchmail -f /etc/fetchmail.conf -v -v -v"
Das damit erstellte Logfile habe ich durchgearbeitet und dabei ist mir 
Aufgefallen, dass ein /usr/local/ssl/certs/415660c1.pem nicht gefunden wird.
Nach dem ich diese Datei in /var/certs/BLFS-ca-bundle-3.12.11.0.tar.bz2 
gefunden habe und nach /usr/local/ssl/certs/415660c1.pem kopierte, (danach 
noch /usr/bin/ssl/c_rehash /usr/local/ssl/certs) war alles Ok.
*Aber*
Woher weiß ich als "normal sterblicher" das ich noch die 415660c1.pem 
benötige ohne mich durch das Logfile zu wühlen?
In der Zertifikatskette der /usr/local/ssl/certs/securepop.t-online.de.pem 
taucht sie nicht auf aber ich würde gern die Zusammenhänge begreifen.

*
| certificate: securesmtp.t-online.de.pem (fe118475)
| subject    : /C=DE/ST=Hessen/L=Darmstadt/O=Deutsche Telekom AG/OU=P&I 
AM/DCS/CN=securesmtp.t-online.de
| issuer     : /C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=Terms of 
use at https://www.verisign.com/rpa (c)10/CN=VeriSign Class 3 International 
Server CA - G3
|
+->| certificate: verisign-international-server-ca-class-3.pem (a302054c)
   | subject    : /C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=Terms 
of use at https://www.verisign.com/rpa (c)10/CN=VeriSign Class 3 
International Server CA - G3
   | issuer     : /C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=(c) 
2006 VeriSign, Inc. - For authorized use only/CN=VeriSign Class 3 Public 
Primary Certification Authorit
   |
   +->| certificate: PCA-3G5.pem (b204d74a)
      | subject    : /C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=(c) 
2006 VeriSign, Inc. - For authorized use only/CN=VeriSign Class 3 Public 
Primary Certification Autho
      | issuer     : /C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=(c) 
2006 VeriSign, Inc. - For authorized use only/CN=VeriSign Class 3 Public 
Primary Certification Autho
      |
      +-> end of chain!



Viele Grüße
Detlef Paschke

-- 
registered Fli4l-User #00000209
Das "Zitat des Augenblicks" gibt es nur auf
http://schabau.dyndns.org

Mehr Informationen über die Mailingliste Eisfair