Postfix: No server certs available. TLS can't be enabled

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
nucknuck
Posts: 3
Joined: 2007-07-10 10:04

Postfix: No server certs available. TLS can't be enabled

Post by nucknuck » 2008-07-22 16:09

Hallo,

ich habe vor ungefähr einem Monat angefangen ein wenig mit Debian zu basteln auf einem alten ausgedienten Rechner.
Nun habe ich seit gestern Abend folgende Fehlermeldung:

postfix/smtpd[2538]: fatal: No server certs available. TLS can't be enabled

Ok, ich bin unbedarft, aber nicht ganz dumm. Die Fehlermeldung sagt mir, dass ein Server Zertifikat fehlt.
Da stellen sich mir aber folgende Fragen:

a) Warum fehlt es? Dachte immer die laufen ab.
b) Wenn es fehlen sollte - wie erstelle ich denn dann ein neues? Bzw. wenn es nur abgelaufen wäre - wie aktualisiere ich es?
c) Habe ich bei der ursprünglichen Konfiguration etwas falsch gemacht, dass es nun zu diesem Fehler kommt?

Danke vorab für ein paar Denkansätze.
Gruß Linda

Roger Wilco
Administrator
Administrator
Posts: 6001
Joined: 2004-05-23 12:53

Re: Postfix: No server certs available. TLS can't be enabled

Post by Roger Wilco » 2008-07-22 18:01

Code: Select all

postconf -n

Darin sollte aufgeführt sein, welches SSL-Zertifikat dein Postfix haben möchte. Das überprüfst du dann auf Existenz und ob alle Rechte stimmen.

nucknuck
Posts: 3
Joined: 2007-07-10 10:04

Re: Postfix: No server certs available. TLS can't be enabled

Post by nucknuck » 2008-08-01 17:35

Hallo,

danke erstmal für die Antwort, war leider etwas über eine Woche nicht daheim.
Habe den Befehl ausgeführt, kann aber nicht wirklich der Ausgabe entnehmen, wo dort auf ein bestimmtes Zertifikat verwiesen wird.

Code: Select all

postconf -n
alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
append_dot_mydomain = no
biff = no
broken_sasl_auth_clients = yes
config_directory = /etc/postfix
content_filter = smtp-amavis:[127.0.0.1]:10024
home_mailbox = Maildir/
inet_interfaces = all
mailbox_command = /usr/bin/procmail
mailbox_size_limit = 0
message_size_limit = 120971520
mydestination = xxx.xxx.de, xx-xx-xxx-xx.xx.de, localhost, localhost.localdomain, localhost
myhostname = xxx.xxx.de
mynetworks = 127.0.0.0/8
myorigin = /etc/mailname
recipient_delimiter = +
relayhost =
smtp_sasl_auth_enable = no
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
smtpd_client_restrictions = permit_sasl_authenticated, reject_rbl_client list.dsbl.org, reject_rbl_client bl.spamcop.net, reject_rbl_client sbl-xbl.spamhaus.org,  reject_rbl_client psbl.surriel.com
smtpd_recipient_restrictions = permit_tls_clientcerts, permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, check_policy_service inet:127.0.0.1:60000
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain = $myhostname
smtpd_sasl_security_options = noanonymous


Wenn daher jemand mal einen Blick drauf werfen mag...
Danke & Gruß

Linda

neo2001
Posts: 40
Joined: 2002-09-12 19:04
Location: Bad Herrenalb

Re: Postfix: No server certs available. TLS can't be enabled

Post by neo2001 » 2008-08-11 01:28

Ich geh mal davon aus, dass

Code: Select all

smtpd_sasl_auth_enable = yes

hier das Problem verursacht.
Damit schaltet er SASL ein bzw. will es einschalten - geht aber ohne Zertifikat eben nicht.
Also einfach mal auf "no" setzen.

User avatar
daemotron
Administrator
Administrator
Posts: 2800
Joined: 2004-01-21 17:44

Re: Postfix: No server certs available. TLS can't be enabled

Post by daemotron » 2008-08-11 01:47

Nein SASL hat mit TLS nichts zu tun. Über SASL wird nur die Authentifizierung gegen ein Backend (z. B. Cyrus-SASL o. ä.) geregelt. TLS hat eigene smtpd_-Options. Der Auslöser in der vorliegenden Konfiguration ist permit_tls_clientcerts - damit sich Clients per Zertifikat authentifizieren können, muss der Server natürlich über das entsprechende CA-Zertifikat inklusive privatem Schlüssel verfügen.

Roger Wilco
Administrator
Administrator
Posts: 6001
Joined: 2004-05-23 12:53

Re: Postfix: No server certs available. TLS can't be enabled

Post by Roger Wilco » 2008-08-11 01:48

neo2001 wrote:Damit schaltet er SASL ein bzw. will es einschalten - geht aber ohne Zertifikat eben nicht.
Also einfach mal auf "no" setzen.

Was hat SASL mit SSL/TLS zu tun? Kleiner Lesetipp: http://www.postfix.org/SASL_README.html

Das SSL-Zertifikat wird mit smtp_tls_cert_file festgelegt und ggf. zusätzlich smtp_tls_key_file, wenn es nicht im PEM-Format vorliegt.

nucknuck
Posts: 3
Joined: 2007-07-10 10:04

Re: Postfix: No server certs available. TLS can't be enabled

Post by nucknuck » 2008-08-11 09:01

Nicht streiten Jungs :)
Eine Lady braucht doch nur einen Ratschlag.
Wie komme(n) ich (wir) denn nun weiter?

Roger Wilco
Administrator
Administrator
Posts: 6001
Joined: 2004-05-23 12:53

Re: Postfix: No server certs available. TLS can't be enabled

Post by Roger Wilco » 2008-08-11 11:28

nucknuck wrote:Wie komme(n) ich (wir) denn nun weiter?

Das steht in den beiden Beiträgen vor deinem letzten.

User avatar
daemotron
Administrator
Administrator
Posts: 2800
Joined: 2004-01-21 17:44

Re: Postfix: No server certs available. TLS can't be enabled

Post by daemotron » 2008-08-11 13:05

nucknuck wrote:Nicht streiten Jungs :)

Würden wir doch nie tun O:)

nucknuck wrote:Wie komme(n) ich (wir) denn nun weiter?

jfreund wrote:Der Auslöser in der vorliegenden Konfiguration ist permit_tls_clientcerts

Schmeiß das aus der Konfiguration raus, dann sollte Postfix sich nicht mehr über fehlende Zertifikate beschweren. Client-Authentifizierung mittels Zertifikat wird sowieso so gut wie überhaupt nicht eingesetzt, und die wenigsten MUAs beherrschen es überhaupt.