Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- tachtler:postfix_tls_einsetzen [2012/09/16 10:16] – [Postfix für TLS konfigurieren] klaus
+++ tachtler:postfix_tls_einsetzen [2018/02/09 13:13] (aktuell) – [TLS-Test via Telnet] klaus
@@ Zeile 5: / Zeile 5: @@
 Um die Verschlüsselung einsetzen zu können, sind folgende Komponenten erforderlich:
   * einen //private key//
-  * einen //public key//, welcher von einer //Certificate Authority (CA)// signiert ist
+  * einen //public certificate//, welcher von einer //Certificate Authority (CA)// signiert ist
-  * den //public key// der unterschreibenden //Certificate Authority (CA)// um deren Unterschrift zu überprüfen
+  * den //root certificate// der unterschreibenden //Certificate Authority (CA)// um deren Unterschrift zu überprüfen
 Ab hier werden ''root''-Rechte zur Ausführung der nachfolgenden Befehle benötigt. Um ''root'' zu werden geben Sie bitte folgenden Befehl ein:
@@ Zeile 521: / Zeile 521: @@
 Shutting down postfix:                                     [  OK  ]
 Starting postfix:                                          [  OK  ]
+</code>
+==== Untrusted TLS connection ====
+Falls nach der Postfix TLS Konfiguration nachfolgender Fehler in der Log-Datei
+  * **''/var/log/maillog''**
+auftauchen sollte:
+<code>
+Sep 16 09:58:50 rechner60 postfix/smtp[20322]: setting up TLS connection to mx1.nausch.org[88.217.187.21]:25
+Sep 16 09:58:50 rechner60 postfix/smtp[20322]: certificate verification failed for mx1.nausch.org[88.217.187.21]:25: untrusted issuer /O=Root CA/OU=http://www.cacert.org/CN=CA Cert Signing Authority/emailAddress=support@cacert.org
+Sep 16 09:58:50 rechner60 postfix/smtp[20322]: Untrusted TLS connection established to mx1.nausch.org[88.217.187.21]:25: TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)
+</code>
+kann dies durch einbinden der **''ca-bundle.crt''**-Datei, welche standardmäßig in [[http://www.centos.org|CentOS]] vorhanden ist und wie nachfolgend dargestellt zur Konfigurationsdatei
+  * **''/etc/postfix/main.cf''***
+hinzugefügt werden kann (**nur relevanter Ausschnitt**):
+<code>
+...
+smtp_tls_CAfile = /etc/pki/tls/certs/ca-bundle.crt
+...
+</code>
+:!: **HINWEIS** - Eigene Zertifikate, können an die Datei **''/etc/pki/tls/certs/ca-bundle.crt''** im **TEXT**-Format angehängt werden !!!
+Anschließend sollten, grundsätzlich bei **offiziellen Zertifizierungsstellen**, keine Fehlermeldungen mehr zu sehen sein:
+<code>
+...
+Sep 16 10:17:01 rechner60 postfix/smtp[21143]: setting up TLS connection to mx1.nausch.org[88.217.187.21]:25
+Sep 16 10:17:01 rechner60 postfix/smtp[21143]: Trusted TLS connection established to mx1.nausch.org[88.217.187.21]:25: TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)
+...
 </code>
@@ Zeile 527: / Zeile 560: @@
 Um einen Test für die TLS-Verschlüsselung via Telnet durchzuführen, kann folgender Aufruf von ''openssl'' genutzt werden:
 <code>
-# openssl s_client -starttls smtp -connect mx1.tachtler.net:25
+# openssl s_client -connect mx1.tachtler.net:25 -starttls smtp
 CONNECTED(00000003)
 depth=1 /C=DE/ST=Bavaria (Bayern)/O=Klaus Tachtler/CN=tachtler.net/emailAddress=postmaster@tachtler.net