Postfix: No server certs available. TLS can't be enabled

[nucknuck]

Hallo,

ich habe vor ungefähr einem Monat angefangen ein wenig mit Debian zu basteln auf einem alten ausgedienten Rechner.
Nun habe ich seit gestern Abend folgende Fehlermeldung:

postfix/smtpd[2538]: fatal: No server certs available. TLS can't be enabled

Ok, ich bin unbedarft, aber nicht ganz dumm. Die Fehlermeldung sagt mir, dass ein Server Zertifikat fehlt.
Da stellen sich mir aber folgende Fragen:

a) Warum fehlt es? Dachte immer die laufen ab.
b) Wenn es fehlen sollte - wie erstelle ich denn dann ein neues? Bzw. wenn es nur abgelaufen wäre - wie aktualisiere ich es?
c) Habe ich bei der ursprünglichen Konfiguration etwas falsch gemacht, dass es nun zu diesem Fehler kommt?

Danke vorab für ein paar Denkansätze.
Gruß Linda

[Roger Wilco]

Code: Select all

postconf -n

Darin sollte aufgeführt sein, welches SSL-Zertifikat dein Postfix haben möchte. Das überprüfst du dann auf Existenz und ob alle Rechte stimmen.

[nucknuck]

Hallo,

danke erstmal für die Antwort, war leider etwas über eine Woche nicht daheim.
Habe den Befehl ausgeführt, kann aber nicht wirklich der Ausgabe entnehmen, wo dort auf ein bestimmtes Zertifikat verwiesen wird.

Code: Select all

postconf -n
alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
append_dot_mydomain = no
biff = no
broken_sasl_auth_clients = yes
config_directory = /etc/postfix
content_filter = smtp-amavis:[127.0.0.1]:10024
home_mailbox = Maildir/
inet_interfaces = all
mailbox_command = /usr/bin/procmail
mailbox_size_limit = 0
message_size_limit = 120971520
mydestination = xxx.xxx.de, xx-xx-xxx-xx.xx.de, localhost, localhost.localdomain, localhost
myhostname = xxx.xxx.de
mynetworks = 127.0.0.0/8
myorigin = /etc/mailname
recipient_delimiter = +
relayhost =
smtp_sasl_auth_enable = no
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
smtpd_client_restrictions = permit_sasl_authenticated, reject_rbl_client list.dsbl.org, reject_rbl_client bl.spamcop.net, reject_rbl_client sbl-xbl.spamhaus.org,  reject_rbl_client psbl.surriel.com
smtpd_recipient_restrictions = permit_tls_clientcerts, permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, check_policy_service inet:127.0.0.1:60000
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain = $myhostname
smtpd_sasl_security_options = noanonymous

Wenn daher jemand mal einen Blick drauf werfen mag...
Danke & Gruß

Linda

[neo2001]

Ich geh mal davon aus, dass

Code: Select all

smtpd_sasl_auth_enable = yes

hier das Problem verursacht.
Damit schaltet er SASL ein bzw. will es einschalten - geht aber ohne Zertifikat eben nicht.
Also einfach mal auf "no" setzen.

[daemotron]

Nein SASL hat mit TLS nichts zu tun. Über SASL wird nur die Authentifizierung gegen ein Backend (z. B. Cyrus-SASL o. ä.) geregelt. TLS hat eigene smtpd_-Options. Der Auslöser in der vorliegenden Konfiguration ist permit_tls_clientcerts - damit sich Clients per Zertifikat authentifizieren können, muss der Server natürlich über das entsprechende CA-Zertifikat inklusive privatem Schlüssel verfügen.

[Roger Wilco]

Damit schaltet er SASL ein bzw. will es einschalten - geht aber ohne Zertifikat eben nicht.
Also einfach mal auf "no" setzen.

Was hat SASL mit SSL/TLS zu tun? Kleiner Lesetipp: http://www.postfix.org/SASL_README.html

Das SSL-Zertifikat wird mit smtp_tls_cert_file festgelegt und ggf. zusätzlich smtp_tls_key_file, wenn es nicht im PEM-Format vorliegt.

[nucknuck]

Nicht streiten Jungs :)
Eine Lady braucht doch nur einen Ratschlag.
Wie komme(n) ich (wir) denn nun weiter?

[Roger Wilco]

Wie komme(n) ich (wir) denn nun weiter?

Das steht in den beiden Beiträgen vor deinem letzten.

[daemotron]

Nicht streiten Jungs :)

Würden wir doch nie tun O:)

Wie komme(n) ich (wir) denn nun weiter?

Der Auslöser in der vorliegenden Konfiguration ist permit_tls_clientcerts

Schmeiß das aus der Konfiguration raus, dann sollte Postfix sich nicht mehr über fehlende Zertifikate beschweren. Client-Authentifizierung mittels Zertifikat wird sowieso so gut wie überhaupt nicht eingesetzt, und die wenigsten MUAs beherrschen es überhaupt.