ich habe jetzt beim versand zweier eMails folgende Fehlermeldung bekommen:
TLS found no client cert in control/clientcert.pem
als die eMail zurückkam. Nur kann ich mir nicht erklären was los ist. Die Datei existiert (habe alles nach dem qmail-Toaster gebaut) und Google gibt mir auch nicht unbedingt aufschluss, was los ist.
Kann mir einer von euch einen Gedankenanstoss geben?
Vielen Dank
Thorsten
QMail: TLS found no client cert in control/clientcert.pem
Re: QMail: TLS found no client cert in control/clientcert.pem
Kann mir hierzu keiner helfen?
Scythe? Du auch nicht?
Scythe? Du auch nicht?
Re: QMail: TLS found no client cert in control/clientcert.pem
Ich bin jetzt zwar nicht Scythe, aber ich versuch's trotzdem.Scythe? Du auch nicht?
Erstmal: Wann immer Fehler auftreten, sollte man den Leuten, von denen man Hilfe erwartet, mehr über seine Konfiguration mitteilen. Wie schon DJB sagte:
Wie auch immer: Vielleicht können Dir generellNote to experienced users: Please don't encourage anti-support behavior.
Don't try to answer questions from users who don't provide the necessary information.
Guessing what they did is an incredible waste of time.
http://marc.theaimsgroup.com/?l=vchkpw& ... 2Fclie&q=b
sowie speziell
http://marc.theaimsgroup.com/?l=vchkpw& ... 010170&w=2
helfen. Ansonsten ist Googlen und nachsehen in themenverwandten Mailinglisten/Newsgroups nie verkehrt.
Re: QMail: TLS found no client cert in control/clientcert.pem
Also genau nach How-To kannst du es ja nicht gemacht haben. Sonst würde es ja gehen ;-)
Ist wohl was am Aufbau deiner Datei falsch. Aber mehr Informationen brauch ich schon.
ls -la output von /var/qmail/control
Wie hast du das servercert.pem aufgebaut? Und schreib jetzt bitte nicht nach Howto, sondern wie du welchen Key darin platziert hast. Aber nicht das private Zertifikat posten ;-)
So sollte es aussehen:
Und die servercert enthält zu rest dein private key und dann alle weiteren notwendigen Zertifkate. Jeweils mit den ---BEGIN und ---END Zeilen. Keine Leerzeile dazwischen aber eine am Ende. Auch keine CRs von Windows oder so am Ende jeder Zeile!
Ist wohl was am Aufbau deiner Datei falsch. Aber mehr Informationen brauch ich schon.
ls -la output von /var/qmail/control
Wie hast du das servercert.pem aufgebaut? Und schreib jetzt bitte nicht nach Howto, sondern wie du welchen Key darin platziert hast. Aber nicht das private Zertifikat posten ;-)
So sollte es aussehen:
Code: Select all
[root@wintermute:/var/qmail/control]# ls -la
total 52
drwxr-xr-x 2 root qmail 4096 Sep 9 15:45 .
drwxr-xr-x 16 root root 4096 Oct 26 02:35 ..
-rw------- 1 vpopmail vchkpw 1975 Feb 1 2003 auth.pem
lrwxrwxrwx 1 vpopmail vchkpw 14 Feb 1 2003 clientcert.pem -> servercert.pem
-rw-r--r-- 1 root root 3 Oct 29 2002 concurrencyincoming
-rw-r--r-- 1 root root 10 Oct 29 2002 defaultdelivery
-rw-r--r-- 1 root root 16 Oct 29 2002 defaultdomain
-rw------- 1 vpopmail vchkpw 1970 Feb 1 2003 imap.pem
-rw-r--r-- 1 root root 27 Sep 9 15:45 locals
-rw------- 1 root root 0 Sep 9 15:45 locals.lock
-rw-r--r-- 1 root root 27 Oct 29 2002 me
-rw-r--r-- 1 root root 16 Oct 29 2002 plusdomain
-rw-r--r-- 1 root root 263 Sep 9 15:45 rcpthosts
-rw------- 1 root root 0 Sep 9 15:45 rcpthosts.lock
-rw------- 1 vpopmail vchkpw 3916 Feb 1 2003 servercert.pem
-rw-r--r-- 1 root root 242 Sep 9 15:45 virtualdomains
-rw------- 1 root root 0 Sep 9 15:45 virtualdomains.lock
Re: QMail: TLS found no client cert in control/clientcert.pem
Na gut, es kann sein, das mir wohl der eine oder andere Fehler unterlaufen ist. ;)
Meine Gruppe, die im HowTo vchkpw heisst, heisst bei mir vpopmail.
Erst einmal das Verzeichnis /var/qmail/control
Und der Aufbau der servercert.pem
Diese ^M von Windows sind nicht enthalten.
Unter dem Link http://marc.theaimsgroup.com/?l=vchkpw& ... 010170&w=2 steht, daß die clientcert.pm den Usern qmaild:qmail gehören sollte. Ist da was dran?
Meine Gruppe, die im HowTo vchkpw heisst, heisst bei mir vpopmail.
Erst einmal das Verzeichnis /var/qmail/control
Code: Select all
ls -la
insgesamt 52
drwxr-xr-x 2 root qmail 4096 2003-11-14 11:16 .
drwxr-xr-x 46 root root 4096 2003-11-11 18:48 ..
lrwxrwxrwx 1 vpopmail vpopmail 33 2003-03-16 23:42 clientcert.pem -> /var/qmail/control/servercert.pem
-rw-r--r-- 1 root root 3 2003-02-24 18:01 concurrencyincoming
-rw-r--r-- 1 root root 10 2003-02-24 18:01 defaultdelivery
-rw-r--r-- 1 root root 11 2003-04-28 23:29 defaultdomain
-rw-r--r-- 1 root root 16 2003-09-25 12:59 locals
-rw------- 1 root root 0 2003-09-25 12:59 locals.lock
-rw-r--r-- 1 root root 16 2003-04-28 23:29 me
-rw-r--r-- 1 root root 11 2003-04-28 23:29 plusdomain
-rw-r--r-- 1 root root 7 2003-11-14 11:16 queuelifetime
-rw-r--r-- 1 root root 139 2003-09-25 12:59 rcpthosts
-rw------- 1 root root 0 2003-09-25 12:59 rcpthosts.lock
-rw------- 1 vpopmail vpopmail 2140 2003-06-03 00:22 servercert.pem
-rw-r--r-- 1 root root 246 2003-09-25 12:59 virtualdomains
-rw------- 1 root root 0 2003-09-25 12:59 virtualdomains.lockUnd der Aufbau der servercert.pem
Code: Select all
cat servercert.pem
-----BEGIN RSA PRIVATE KEY-----
**********ZENSIERT*********
-----END RSA PRIVATE KEY-----
-----BEGIN CERTIFICATE-----
**********ZENSIERT*********
-----END CERTIFICATE-----
Unter dem Link http://marc.theaimsgroup.com/?l=vchkpw& ... 010170&w=2 steht, daß die clientcert.pm den Usern qmaild:qmail gehören sollte. Ist da was dran?
Re: QMail: TLS found no client cert in control/clientcert.pem
Sicher das die grouppe bei dir vpopmail und nicht vchkpw heissen soll, wie ich es im Howto vorgesehen habe?
qmaild:qmail ist das, wenn du kein vpopmail verwendest oder du dafür keine eigenen User verwendest. Oder anders setup halt, was von den vpopmail Dokus abweicht.
Zu deinem Zeritifikat:
Private Key zu erst - OK
Public Key dann public key - OK
Ich vermisse da das Root Zertifikat der CA, die dir das Zertifikat ausgestellt hat.
Und ich sehe da keine Leerzeile am Ende der servercert.pem. Copy und Paste Fehler beim posten hier?
Ist ein ein gekauftes Zeritifkat?
Wenn ja ein Chain Zertifikat (also mit einer CA unter der Root CA)?
Ist es ein selbst erstelltes?
Wenn du es selbsterstellt hast, dann reicht nach dem ein "make cert" nach dem bauen/konfigurieren von qmail, dann baut er dir schnell eins für qmail - musst dann nur das clientcert.pem löschen, den link bauen und die Rechte anpassen. Bei selbstsignierten ist das ja völlig egal, wenn du dann für qmail ein anderes als z.B. im Apache verwendest, da man die Echtheit eh nicht vernünftig prüfen kann.
qmaild:qmail ist das, wenn du kein vpopmail verwendest oder du dafür keine eigenen User verwendest. Oder anders setup halt, was von den vpopmail Dokus abweicht.
Zu deinem Zeritifikat:
Private Key zu erst - OK
Public Key dann public key - OK
Ich vermisse da das Root Zertifikat der CA, die dir das Zertifikat ausgestellt hat.
Und ich sehe da keine Leerzeile am Ende der servercert.pem. Copy und Paste Fehler beim posten hier?
Ist ein ein gekauftes Zeritifkat?
Wenn ja ein Chain Zertifikat (also mit einer CA unter der Root CA)?
Ist es ein selbst erstelltes?
Wenn du es selbsterstellt hast, dann reicht nach dem ein "make cert" nach dem bauen/konfigurieren von qmail, dann baut er dir schnell eins für qmail - musst dann nur das clientcert.pem löschen, den link bauen und die Rechte anpassen. Bei selbstsignierten ist das ja völlig egal, wenn du dann für qmail ein anderes als z.B. im Apache verwendest, da man die Echtheit eh nicht vernünftig prüfen kann.
Re: QMail: TLS found no client cert in control/clientcert.pem
Hi Scythe,
mit der Gruppe bin ich mit 1000%ig sicher - die stimmt.
Die servercert hat ein Newline nach dem public key - ist wohl ein Copy/Paste Fehler.
Das Zertifikat ist selbsterstellt mit "make cert". Meinst du, ich soll probehalber ein neues erstellen?
Bisher hatte ich auch nur die Probleme, als ich an einen User aus dem Forum eine eMail gesandt habe und an eine eMail-Adresse von Procter & Gamble (@pg.com). Ansonsten ist NIE ein Fehler aufgetreten.
mit der Gruppe bin ich mit 1000%ig sicher - die stimmt.
Die servercert hat ein Newline nach dem public key - ist wohl ein Copy/Paste Fehler.
Das Zertifikat ist selbsterstellt mit "make cert". Meinst du, ich soll probehalber ein neues erstellen?
Bisher hatte ich auch nur die Probleme, als ich an einen User aus dem Forum eine eMail gesandt habe und an eine eMail-Adresse von Procter & Gamble (@pg.com). Ansonsten ist NIE ein Fehler aufgetreten.
Re: QMail: TLS found no client cert in control/clientcert.pem
Alles klar, die clientcert.pem wird verwendet, wenn qmail sich gemäss RFC bei anderen Mailsever damit indentifizieren will. Da du ein selbstsigniertes Zeritifkat hast (sollte man eh nie im Internet nehmen), und der empfangende Mail Server so eingstellt ist, dass er das Zeritifkat prüfen will, es bei einem selbstsingierten natürlich nicht kann, kommt es zu diesem Fehler.cosmicboy wrote: Bisher hatte ich auch nur die Probleme, als ich an einen User aus dem Forum eine eMail gesandt habe und an eine eMail-Adresse von Procter & Gamble (@pg.com). Ansonsten ist NIE ein Fehler aufgetreten.
Zeritifkate dienen nicht nur zum verschlüsseln oder sonder auch für Trust Gechichten und sollten immer prüfbar sein. Für öffentliche Server im Internet immer ein echtes nehmen - kostet ja kaum noch was.
Lösung: Lösch die clientcert.pem bei dir. Das betrifft aber nicht die SSL Funktionalität deiner User auf deinem Server. qmail identifiziert sich dann eben nur nicht mit dem Zeritifkat bei anderen SMTP Servern bzw. andere SMTP Server können nicht TLS mit deinem nutzen.
Oder
Einfach nen ehctes Zertifikat holen...
PS: Wer Tippfehler findet, darf sie behalten.