[Eisfair] Zertifikatsprobleme bei Fetchmail

Dirk Alberti Howy-1 at gmx.de
Mo Apr 24 14:44:43 CEST 2017 

Am 24.04.2017 um 13:09 schrieb Juergen Edner:
> Hallo Dirk,
>
>> Mein Fetchmal beglückt mich neuerdings mit Emails, dass die Mailkonten> nich abgerufen werden können.
>> fetchmail: Server certificate verification error: self signed
>> certificate in certificate chain
>> fetchmail: Missing trust anchor certificate: /C=DE/O=Deutsche Telekom
>> AG/OU=T-TeleSec Trust Center/CN=Deutsche Telekom Root CA 2
>> fetchmail: This could mean that the root CA's signing certificate is not
>> in the trusted CA certificate location, or that c_rehash needs to be run
>> on the certificate directory. For details, please see the documentation
>> of --sslcertpath and --sslcertfile in the manual page.
>> fetchmail: OpenSSL reported: error:14090086:SSL
>> routines:ssl3_get_server_certificate:certificate verify failed
> nutze die Funktion "3-Show certificate related information -> 3-Show
> certificate chain" um Dir die Zertifikatskette des abgerufenen Servers
> anzeigen zu lassen.

Das sieht so aus:


certificate : Deutsche_Telekom_Root_CA_2.pem (812e17de)
subject     : /C=DE/O=Deutsche Telekom AG/OU=T-TeleSec Trust 
Center/CN=Deutsche Telekom Root CA 2
issuer      : /C=DE/O=Deutsche Telekom AG/OU=T-TeleSec Trust 
Center/CN=Deutsche Telekom Root CA 2
MD5 f-print : 74:01:4A:91:B1:08:C4:58:CE:47:CD:F0:DD:11:53:08
SHA1 f-print: 85:A4:08:C0:9C:19:3E:5D:51:58:7D:CD:D6:13:30:FD:8C:DE:37:BF

-> end of chain!

checking certificate chain: Deutsche_Telekom_Root_CA_2.pem: C = DE, O =  
Deutsche Telekom AG, OU = T-TeleSec Trust Center, CN = Deutsche Telekom 
Root CA 2
error 3 at 0 depth lookup:unable to get certificate CRL

> Der Meldung nach fehlt ein entsprechendes Zertifikat
> der Telekom auf Deinem Server. Dieses sollte wiederum automatisch
> herunter geladen werden, so Du denn das Telekom-Serverzertifikat
> aktualisierst.
> Alternativ kannst Du es von dieser WEbseite herunterladen:
> https://www.pki.dfn.de/wurzelzertifikate/globalroot/#c15065
>
>

Ich habe es nun manuell heuntergeladen, nach /etc/ssl/certs kopiert und 
rehash durchgeführt, richtig?  Danach wieder Menüpunkt "Download ca 
certificate bundle". Anschließend neuerlicher Test: Keinerlei Änderung.

Läuft da beim download der CA-Bundles was schief?  Es gibt dabei aber 
keine Fehlermeldung.
> s.o.
>
> Gruß Jürgen


Gruß

Dirk

Mehr Informationen über die Mailingliste Eisfair