[Eisfair] Fetchmail mit SSL

Carsten Lippert carsten at falconcrest-lippert.de
Di Jul 25 19:30:24 CEST 2017 

Hallo Marcus,

Am 25.07.2017 um 18:33 schrieb Marcus Roeckrath:

> Danke, hast Du das Zertifikat manuell oder durch mail-addon-certs bzw. das
> certs-Paket heruntergeladen?

Manuell, nach /usr/local/ssl/certs kopiert und rehash durchgefuehrt...


Der Mailabruf von Yahoo funktioniert jetzt wieder, aber nun habe ich
auch ein Problem mit Microsoft.

Hier die Mail von heute 19.06 Uhr:
------------------------------------------------------------------------
fetchmail: Server certificate verification error: unable to get issuer
certificate
fetchmail: Broken certification chain at: /C=US/O=DigiCert
Inc/OU=www.digicert.com/CN=DigiCert Global Root CA
fetchmail: This could mean that the server did not provide the
intermediate CA's certificate(s), which is nothing fetchmail could do
anything about.  For details, please see the README.SSL-SERVER document
that ships with fetchmail.
fetchmail: This could mean that the root CA's signing certificate is not
in the trusted CA certificate location, or that c_rehash needs to be run
on the certificate directory. For details, please see the documentation
of --sslcertpath and --sslcertfile in the manual page.
fetchmail: OpenSSL reported: error:14090086:SSL
routines:ssl3_get_server_certificate:certificate verify failed
fetchmail: SSL connection failed.
fetchmail: socket error while fetching from
meine_email_adresse at hotmail.com@pop-mail.outlook.com
fetchmail: Query status=2 (SOCKET)

Please check and fix problem manually
-----------------------------------------------------------------------

Ich habe jetzt die Zertifikate nochmals mit

openssl s_client -connect pop-mail.outlook.com:995 -showcerts geholt,

die entsprechenden *,pem - Dateien erstellt, diese nach
/usr/local/ssl/certs/ kopiert, einen rehash durchgefuert und mit

/var/install/bin/certs-show-chain pop-mail.outlook.com.pem die
Zertifikatskette überprueft.


Hier der die Ausgabe von ca. 19.20 Uhr:
-----------------------------------------------------------------------
Show certificate chain (run as 'root')
*
| certificate : pop-mail.outlook.com.pem (2a4c3263)
| subject     : /C=US/ST=Washington/L=Redmond/O=Microsoft
Corporation/CN=*.hotmail.com
| issuer      : /C=BE/O=GlobalSign nv-sa/CN=GlobalSign Organization
Validation CA - SHA256 - G2
| MD5 f-print : C6:4E:A5:E3:5F:E4:EC:25:FA:09:9A:A5:2D:5E:AA:E8
| SHA1 f-print: D6:FE:67:C7:10:F4:EF:76:86:74:02:B2:71:30:CE:32:2B:54:B1:E4
|
+->| certificate :
GlobalSign_Organization_Validation_CA_-_SHA256_-_G2.pem (b85455c4)
   | subject     : /C=BE/O=GlobalSign nv-sa/CN=GlobalSign Organization
Validation CA - SHA256 - G2
   | issuer      : /C=BE/O=GlobalSign nv-sa/OU=Root CA/CN=GlobalSign Root CA
   | MD5 f-print : D3:E8:70:6D:82:92:AC:E4:DD:EB:F7:A8:BB:BD:56:6B
   | SHA1 f-print:
90:2E:F2:DE:EB:3C:5B:13:EA:4C:3D:51:93:62:93:09:E2:31:AE:55
   |
   +->| certificate : globalsign_root_ca.pem (5ad8a5d6)
      | subject     : /C=BE/O=GlobalSign nv-sa/OU=Root CA/CN=GlobalSign
Root CA
      | issuer      : /C=BE/O=GlobalSign nv-sa/OU=Root CA/CN=GlobalSign
Root CA
      | MD5 f-print : 3E:45:52:15:09:51:92:E1:B7:5D:37:9F:B1:87:29:8A
      | SHA1 f-print:
B1:BC:96:8B:D4:F4:9D:62:2A:A8:9A:81:F2:15:01:52:A4:1D:82:9C
      |
      +-> end of chain!

checking certificate chain: pop-mail.outlook.com.pem: OK
--------------------------------------------------------------------

Sollte doch ok sein?

-- 
MfG. Carsten

Mehr Informationen über die Mailingliste Eisfair