[Eisfair] [e-1] stunnel und CRL
Alexander Dahl
lespocky at web.de
Fr Feb 12 06:41:44 CET 2016
Hallo zusammen,
ich betreibe eisfair-1 mit base 2.6.7, certs 1.4.4 und stunnel 1.2.2 um
mich zu zwei SMTP-Servern zu verbinden, die eine andere VM im LAN als
smarthost benutzt. Funktionierte bis vorgestern ganz gut. Jetzt klappt
der Verbindungsaufbau nicht mehr. Aus dem Log von stunnel von gestern
nacht:
2016.02.12 00:56:13 LOG5[26]: Service [mail.netz39.de] accepted connection from 10.182.63.91:48202
2016.02.12 00:56:13 LOG5[26]: s_connect: connected 5.45.97.56:587
2016.02.12 00:56:13 LOG5[26]: Service [mail.netz39.de] connected remote server from 10.182.63.95:50642
2016.02.12 00:56:13 LOG4[26]: CERT: Pre-verification error: CRL has expired
2016.02.12 00:56:13 LOG4[26]: Rejected by CERT at depth=0: CN=*.netz39.de
2016.02.12 00:56:13 LOG3[26]: SSL_connect: 14090086: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed
2016.02.12 00:56:13 LOG5[26]: Connection reset: 0 byte(s) sent to SSL, 0 byte(s) sent to socket
2016.02.12 01:56:13 LOG5[27]: Service [smtp.1und1.de] accepted connection from 10.182.63.91:50255
2016.02.12 01:56:13 LOG5[27]: s_connect: connected 212.227.15.183:587
2016.02.12 01:56:13 LOG5[27]: Service [smtp.1und1.de] connected remote server from 10.182.63.95:50848
2016.02.12 01:56:13 LOG4[27]: CERT: Pre-verification error: CRL has expired
2016.02.12 01:56:13 LOG4[27]: Rejected by CERT at depth=0: C=DE, O=1 und 1 Internet AG, ST=Rheinland-Pfalz, L=Montabaur, emailAddress=server-certs at 1und1.de, CN=smtp.1und1.de
2016.02.12 01:56:13 LOG3[27]: SSL_connect: 14090086: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed
2016.02.12 01:56:13 LOG5[27]: Connection reset: 0 byte(s) sent to SSL, 0 byte(s) sent to socket
Ich habe gestern vormittag und abend auf der VM, wo auch stunnel läuft,
zweimal die CRL aktualisiert, kein Erfolg. :-/
Ich hatte die VM die Tage ein paar mal neu gebootet, aber das sollte den
CRL ja nix tun eigentlich, oder?
Ich bin jetzt erstmal von STUNNEL_x_CERT_CHECK=3 auf 2, mal schauen ob
das was bringt? Auf dem anderen Rechner, der die Verbindung mit dem
stunnel aufbaut muss ich ja eigentlich nichts machen, oder? Der baut ja
gar keine SSL-Verbindung auf?! (Hab dort aber auch nochmal ein
CRL-Update angeschubst.)
Grüße
Alex
--
***** http://blog.antiblau.de/ *****************************
GnuPG-FP: C28E E6B9 0263 95CF 8FAF 08FA 34AD CD00 7221 5CC6
Mehr Informationen über die Mailingliste Eisfair