Courier SSL Zertifikate erstellen

[name]

Hallo,

Ich habe auf meinem Server ISPConfig installiert und alles soweit eingerichtet.

Nun wollte ich gerne für Courier SSL Zertifikate erstellen, um mit einer "gesicherten" Verbindung per POP3 und IMAP auf den Server zugreiffen zu können.

Dabei liegen bereits unter /etc/courier/ sowohl eine imapd.pem und pop3d.pem, die auch eigentlich korrekt laufen müssten.

Leider kann sich kein Email-Client per TLS anmelden.

In der mail.log steht folgendes:

Code: Select all

courierpop3login: couriertls /etc/courier/pop3d.pem error:0906D06C:PEM routines:PEM_read_bio:no start line

Wenn ich die pop3d.pem öffne, sieht diese allerdings "ganz normal" aus (also mit dem Kommentar BEGIN RSA PRIVATE KEY, dann folgt eben der ganze Salat und endet mit END RSA PRIVATE KEY).

Ich habe natürlich versucht einfach neue zertifikate zu erstellen indem ich die pop3d.cnf abgeändert habe:

Code: Select all

RANDFILE /usr/lib/courier/pop3d.rand

[ req ]
default_bits = 1024
encrypt_key = yey
distinguished_name = req_dn
x509_extensions = cert_type
prompt = no

[ req_dn ]
C=DE
ST=Germany
L=STADT
O=NAME
OU=
CN=DOMAIN.TLD
emailAdress=m@a.il

[ cert_type ]
nsCertType = server

Sobald ich nun mkpop3dcert ausführe erscheint folgende Fehlermeldung:

Code: Select all

Generating a 1024 bit RSA Private Key 
................................................................................
writing new key to '/usr/lib/courier/pop3d.pem'
-----
problems making Certificate Request
904:error:0D07A098:asn1 encoding routines:ASN1_mbstring_ncopy:string too short:a_mbstr.c:147:minsize=1

Ich habe dabei keine Ahnung was genau angeblich einen zu kurzen String aufweist....


Ich würde mich über Antwort wahnsinnig freuen!

Vielen Dank schonmal!

[name]

Ah, da hab ich das Problem gefunden.

Ich hätte unter OU= auch etwas eintragen sollen.

Danach werden funktionierende ssl-zertifikate erstellt!


Jetzt habe ich allerdings ein (kleines?) neues Problem.

Ich kann nun zwar via Thunderbird per POP3 zugreiffen:
* ohne Verschlüsselung
* mit SSL Verschlüsselung
aber nicht mit TLS...

In der mail.log erscheint nun:

Code: Select all

courirertls: accept: error:1408A10B:SSL routines:SSL3_GET_CLIENT_HELO:wrong version numer

[timeless2]

Bin gerade beim Umzug von Debian etch auf Ubuntu feisty. Bisher klappt alles ganz gut, nur mit dem Courier habe ich Probleme.

Für courier-imap-ssl habe ich ein Zertifikat erstellt (mit mkimapdcert und entsprechend angepasster imapd.cnf), Zertifikat in das Konfig-Verzeichnis kopiert und courier-ssl neu gestartet. Versuche ich mich nun per IMAP-SSL einzuloggen, kommt folgende Zeile in den Logs:

Code: Select all

imapd-ssl: couriertls: connect: error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number

Stelle ich nun in der imap-ssl den Wert

Code: Select all

TLS_PROTOCOL=SSL3

auf SSL2 scheint es zu Funktionieren, aber Clients wie Thunderbird meckern, dass sie damit nicht mehr arbeiten.
Muss man die SSL3-Zertifikate anders erstellen?