QMail: TLS found no client cert in control/clientcert.pem

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
cosmicboy
Posts: 146
Joined: 2003-02-04 13:28

QMail: TLS found no client cert in control/clientcert.pem

Post by cosmicboy » 2003-11-11 17:39

ich habe jetzt beim versand zweier eMails folgende Fehlermeldung bekommen:

TLS found no client cert in control/clientcert.pem

als die eMail zurückkam. Nur kann ich mir nicht erklären was los ist. Die Datei existiert (habe alles nach dem qmail-Toaster gebaut) und Google gibt mir auch nicht unbedingt aufschluss, was los ist.

Kann mir einer von euch einen Gedankenanstoss geben?

Vielen Dank
Thorsten

cosmicboy
Posts: 146
Joined: 2003-02-04 13:28

Re: QMail: TLS found no client cert in control/clientcert.pem

Post by cosmicboy » 2003-11-14 20:29

Kann mir hierzu keiner helfen?

Scythe? Du auch nicht?

kenzo
RSAC
Posts: 530
Joined: 2003-07-15 20:30

Re: QMail: TLS found no client cert in control/clientcert.pem

Post by kenzo » 2003-11-15 13:58

Scythe? Du auch nicht?
Ich bin jetzt zwar nicht Scythe, aber ich versuch's trotzdem.
Erstmal: Wann immer Fehler auftreten, sollte man den Leuten, von denen man Hilfe erwartet, mehr über seine Konfiguration mitteilen. Wie schon DJB sagte:
Note to experienced users: Please don't encourage anti-support behavior.
Don't try to answer questions from users who don't provide the necessary information.
Guessing what they did is an incredible waste of time.
Wie auch immer: Vielleicht können Dir generell
http://marc.theaimsgroup.com/?l=vchkpw& ... 2Fclie&q=b
sowie speziell
http://marc.theaimsgroup.com/?l=vchkpw& ... 010170&w=2
helfen. Ansonsten ist Googlen und nachsehen in themenverwandten Mailinglisten/Newsgroups nie verkehrt.

scythe42
RSAC
Posts: 154
Joined: 2002-10-14 18:30
Location: Internet

Re: QMail: TLS found no client cert in control/clientcert.pem

Post by scythe42 » 2003-11-15 14:16

Also genau nach How-To kannst du es ja nicht gemacht haben. Sonst würde es ja gehen ;-)

Ist wohl was am Aufbau deiner Datei falsch. Aber mehr Informationen brauch ich schon.

ls -la output von /var/qmail/control
Wie hast du das servercert.pem aufgebaut? Und schreib jetzt bitte nicht nach Howto, sondern wie du welchen Key darin platziert hast. Aber nicht das private Zertifikat posten ;-)

So sollte es aussehen:

Code: Select all

[root@wintermute:/var/qmail/control]# ls -la
total 52
drwxr-xr-x    2 root     qmail        4096 Sep  9 15:45 .
drwxr-xr-x   16 root     root         4096 Oct 26 02:35 ..
-rw-------    1 vpopmail vchkpw       1975 Feb  1  2003 auth.pem
lrwxrwxrwx    1 vpopmail vchkpw         14 Feb  1  2003 clientcert.pem -> servercert.pem
-rw-r--r--    1 root     root            3 Oct 29  2002 concurrencyincoming
-rw-r--r--    1 root     root           10 Oct 29  2002 defaultdelivery
-rw-r--r--    1 root     root           16 Oct 29  2002 defaultdomain
-rw-------    1 vpopmail vchkpw       1970 Feb  1  2003 imap.pem
-rw-r--r--    1 root     root           27 Sep  9 15:45 locals
-rw-------    1 root     root            0 Sep  9 15:45 locals.lock
-rw-r--r--    1 root     root           27 Oct 29  2002 me
-rw-r--r--    1 root     root           16 Oct 29  2002 plusdomain
-rw-r--r--    1 root     root          263 Sep  9 15:45 rcpthosts
-rw-------    1 root     root            0 Sep  9 15:45 rcpthosts.lock
-rw-------    1 vpopmail vchkpw       3916 Feb  1  2003 servercert.pem
-rw-r--r--    1 root     root          242 Sep  9 15:45 virtualdomains
-rw-------    1 root     root            0 Sep  9 15:45 virtualdomains.lock
Und die servercert enthält zu rest dein private key und dann alle weiteren notwendigen Zertifkate. Jeweils mit den ---BEGIN und ---END Zeilen. Keine Leerzeile dazwischen aber eine am Ende. Auch keine CRs von Windows oder so am Ende jeder Zeile!

cosmicboy
Posts: 146
Joined: 2003-02-04 13:28

Re: QMail: TLS found no client cert in control/clientcert.pem

Post by cosmicboy » 2003-11-15 14:46

Na gut, es kann sein, das mir wohl der eine oder andere Fehler unterlaufen ist. ;)

Meine Gruppe, die im HowTo vchkpw heisst, heisst bei mir vpopmail.

Erst einmal das Verzeichnis /var/qmail/control

Code: Select all

 ls -la
insgesamt 52
drwxr-xr-x    2 root     qmail        4096 2003-11-14 11:16 .
drwxr-xr-x   46 root     root         4096 2003-11-11 18:48 ..
lrwxrwxrwx    1 vpopmail vpopmail       33 2003-03-16 23:42 clientcert.pem -> /var/qmail/control/servercert.pem
-rw-r--r--    1 root     root            3 2003-02-24 18:01 concurrencyincoming
-rw-r--r--    1 root     root           10 2003-02-24 18:01 defaultdelivery
-rw-r--r--    1 root     root           11 2003-04-28 23:29 defaultdomain
-rw-r--r--    1 root     root           16 2003-09-25 12:59 locals
-rw-------    1 root     root            0 2003-09-25 12:59 locals.lock
-rw-r--r--    1 root     root           16 2003-04-28 23:29 me
-rw-r--r--    1 root     root           11 2003-04-28 23:29 plusdomain
-rw-r--r--    1 root     root            7 2003-11-14 11:16 queuelifetime
-rw-r--r--    1 root     root          139 2003-09-25 12:59 rcpthosts
-rw-------    1 root     root            0 2003-09-25 12:59 rcpthosts.lock
-rw-------    1 vpopmail vpopmail     2140 2003-06-03 00:22 servercert.pem
-rw-r--r--    1 root     root          246 2003-09-25 12:59 virtualdomains
-rw-------    1 root     root            0 2003-09-25 12:59 virtualdomains.lock

Und der Aufbau der servercert.pem

Code: Select all

cat servercert.pem
-----BEGIN RSA PRIVATE KEY-----
**********ZENSIERT*********
-----END RSA PRIVATE KEY-----
-----BEGIN CERTIFICATE-----
**********ZENSIERT*********
-----END CERTIFICATE-----
Diese ^M von Windows sind nicht enthalten.

Unter dem Link http://marc.theaimsgroup.com/?l=vchkpw& ... 010170&w=2 steht, daß die clientcert.pm den Usern qmaild:qmail gehören sollte. Ist da was dran?

scythe42
RSAC
Posts: 154
Joined: 2002-10-14 18:30
Location: Internet

Re: QMail: TLS found no client cert in control/clientcert.pem

Post by scythe42 » 2003-11-15 15:13

Sicher das die grouppe bei dir vpopmail und nicht vchkpw heissen soll, wie ich es im Howto vorgesehen habe?

qmaild:qmail ist das, wenn du kein vpopmail verwendest oder du dafür keine eigenen User verwendest. Oder anders setup halt, was von den vpopmail Dokus abweicht.

Zu deinem Zeritifikat:
Private Key zu erst - OK
Public Key dann public key - OK
Ich vermisse da das Root Zertifikat der CA, die dir das Zertifikat ausgestellt hat.
Und ich sehe da keine Leerzeile am Ende der servercert.pem. Copy und Paste Fehler beim posten hier?

Ist ein ein gekauftes Zeritifkat?
Wenn ja ein Chain Zertifikat (also mit einer CA unter der Root CA)?
Ist es ein selbst erstelltes?
Wenn du es selbsterstellt hast, dann reicht nach dem ein "make cert" nach dem bauen/konfigurieren von qmail, dann baut er dir schnell eins für qmail - musst dann nur das clientcert.pem löschen, den link bauen und die Rechte anpassen. Bei selbstsignierten ist das ja völlig egal, wenn du dann für qmail ein anderes als z.B. im Apache verwendest, da man die Echtheit eh nicht vernünftig prüfen kann.

cosmicboy
Posts: 146
Joined: 2003-02-04 13:28

Re: QMail: TLS found no client cert in control/clientcert.pem

Post by cosmicboy » 2003-11-15 18:13

Hi Scythe,

mit der Gruppe bin ich mit 1000%ig sicher - die stimmt.

Die servercert hat ein Newline nach dem public key - ist wohl ein Copy/Paste Fehler.

Das Zertifikat ist selbsterstellt mit "make cert". Meinst du, ich soll probehalber ein neues erstellen?

Bisher hatte ich auch nur die Probleme, als ich an einen User aus dem Forum eine eMail gesandt habe und an eine eMail-Adresse von Procter & Gamble (@pg.com). Ansonsten ist NIE ein Fehler aufgetreten.

scythe42
RSAC
Posts: 154
Joined: 2002-10-14 18:30
Location: Internet

Re: QMail: TLS found no client cert in control/clientcert.pem

Post by scythe42 » 2003-11-15 20:28

cosmicboy wrote: Bisher hatte ich auch nur die Probleme, als ich an einen User aus dem Forum eine eMail gesandt habe und an eine eMail-Adresse von Procter & Gamble (@pg.com). Ansonsten ist NIE ein Fehler aufgetreten.
Alles klar, die clientcert.pem wird verwendet, wenn qmail sich gemäss RFC bei anderen Mailsever damit indentifizieren will. Da du ein selbstsigniertes Zeritifkat hast (sollte man eh nie im Internet nehmen), und der empfangende Mail Server so eingstellt ist, dass er das Zeritifkat prüfen will, es bei einem selbstsingierten natürlich nicht kann, kommt es zu diesem Fehler.

Zeritifkate dienen nicht nur zum verschlüsseln oder sonder auch für Trust Gechichten und sollten immer prüfbar sein. Für öffentliche Server im Internet immer ein echtes nehmen - kostet ja kaum noch was.

Lösung: Lösch die clientcert.pem bei dir. Das betrifft aber nicht die SSL Funktionalität deiner User auf deinem Server. qmail identifiziert sich dann eben nur nicht mit dem Zeritifkat bei anderen SMTP Servern bzw. andere SMTP Server können nicht TLS mit deinem nutzen.

Oder

Einfach nen ehctes Zertifikat holen...

PS: Wer Tippfehler findet, darf sie behalten.