[Eisfair] mail/certs Paket imap.strato.de
D. Oezbilen
oezbilen at gmx.net
So Mär 29 21:14:33 CEST 2020
Hallo Juergen, @all,
ein Problem mit fetchmail, dass dieser imap.strato.de nicht mehr mag:
fetchmail: imap.strato.de fingerprints do not match!
fetchmail: OpenSSL reported: error:1416F086:SSL
routines:tls_process_server_certificate:certificate verify failed
fetchmail: imap.strato.de: SSL connection failed.
Der eis ist ein x64 latest/greatest/fastest, bis auf den Kernel 4.9.215.
Mit
/var/install/bin/certs-request-cert --writecert --certdetails imap
imap.strato.de
requesting imap certificate from server 'imap.strato.de' ...
saving certificate to file 'imap.strato.de-1.pem' ...
valid until: 29.03.2021
FILE:/usr/local/ssl/certs/imap.strato.de-1.pem HNAME:imap.strato.de:993
CNAME:imap.strato.de ALTNAME:imap.strato.de:imap.strato.com
saving certificate to file 'telesec_serverpass_class_2_ca-3.pem' ...
FILE:/usr/local/ssl/certs/telesec_serverpass_class_2_ca-3.pem
HNAME:imap.strato.de:993 CNAME:telesec_serverpass_class_2_ca ALTNAME:
recreating hashes ...
finished.
habe ich das neue Cert des Servers imap.strato.de geholt.
mv /usr/local/ssl/certs/imap.strato.de-1.pem
/usr/local/ssl/certs/imap.strato.de.pem
/usr/bin/c_rehash
...
Creation of old hashes activated!
...
Spaeter mit
/usr/bin/openssl x509 -in /var/certs/ssl/certs/imap.strato.de.pem -noout
-fingerprint -md5
folgt:
MD5 Fingerprint=2A:7C:94:C1:4C:62:B0:1C:A7:42:59:9A:1C:E7:3F:C6
Dies habe ich in die Mailkonten in der mail-Config eingebaut:
FETCHMAIL_xyz_SSL_FINGERPRINT='2A:7C:94:C1:4C:62:B0:1C:A7:42:59:9A:1C:E7:3F:C6'
trotzdem habe ich irgendwo *zu kurz gedacht* (zumindest auf x64), denn
obwohl mit dem selben md5-Fingerprint ein uralter eis die Mails *ohne*
Fehler abholt, schafft es der neue eisx64 (uptodate) *nicht*.
Der selbe Process, neues Cert holen/einbinden/c_rehash/mail-Config
bearbeiten = fetchmail OK klappt auf x86-uralt.
Wo ist der Fehler?
Auch, wenn ich unter
Certs Service
Download ca certificate bundle
Update certs/crl hashes
Update revocation list(s)
ausfuehre, der neue eisx64 holt *nicht* die Mails ab. :-( Auch unnoetige
Certs auszusortieren, dann wieder alle CA-Bundles zu erneuern, half nicht.
Any idea?
Danke Dir/Euch.
Gruss
Derya
PS: Wieso ergibt ein c_rehash z.B. bei
Staat_der_Nederlanden_Root_CA_-_G2.pem => 5c44d531.0
Staat_der_Nederlanden_Root_CA_-_G2.pem => 3d441de8.0
im selben Verzeichis zwei Links zum selben Cert?
Mehr Informationen über die Mailingliste Eisfair