Courier-Imap-SSL Zertifikat

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
kewlzero3
Posts: 9
Joined: 2003-01-16 13:46
Location: Osnabrück

Courier-Imap-SSL Zertifikat

Post by kewlzero3 » 2003-03-19 16:25

Hallo,

ich hab mir nen Imapd gestrickt... mit SSL Support. Funktioniert alles bestens. Da ist nur eine Sache die mich nervt. Jedesmal beim Abrufen meckert der Client z.B. Outlook "Der Server, mit dem Sie verbunden sind, verwendet ein Sicherheitszertifikat, das nicht verifiziert werden konnte.

Eine Zertifikatskette wurde zwar ordnungsgemäß verarbeitet, endete jedoch mit einem Stammzertifikat, das beim Vertrauensanbieter nicht als vertrauenswürdig gilt.

Möchten Sie diesen Server weiterhin verwenden?"

Das nervt ein wenig.. muss ich mir da nicht die Datei /etc/courier/imapd.pem neu stricken?
Die SSL Nummer hab ich noch nie ganz verstanden - könnte mich da wer aufklären?

mfg.
Carsten

jp
Posts: 91
Joined: 2002-07-31 13:27
Location: München

Re: Courier-Imap-SSL Zertifikat

Post by jp » 2003-03-19 17:13

so - ich hoffe das Telefonat eben hat dich aufgeklärt *gg* :p

scythe42
RSAC
Posts: 154
Joined: 2002-10-14 18:30
Location: Internet

Re: Courier-Imap-SSL Zertifikat

Post by scythe42 » 2003-03-19 17:14

Ein Zertifikat kaufen und schluss ist, dann ist das von einer bekannten Root CA signiert. Ich empfehle als günstigstes ein Chain Zertifikat (d.h. zwischen dir und der Root CA ist noch einer) von freessl.com.

Sind mittlerweile was teurer geworden, wohl wg. Erfolg, ist aber immernoch das billigste Zertifikat auf dem Markt. Fahre ich auf mehreren Server ohne jegliche Probleme mit diversen Clients und OS.

jp
Posts: 91
Joined: 2002-07-31 13:27
Location: München

Re: Courier-Imap-SSL Zertifikat

Post by jp » 2003-03-19 17:18

forget about freessl.com ..............

User avatar
nyxus
RSAC
Posts: 697
Joined: 2002-09-13 08:41
Location: Lübeck

Re: Courier-Imap-SSL Zertifikat

Post by nyxus » 2003-03-19 20:58

jP wrote:forget about freessl.com ..............
ich habe meins zwar auch von InstantSSL, aber wie begründest Du Deine Aussage?


Gruß, Nyx

jp
Posts: 91
Joined: 2002-07-31 13:27
Location: München

Re: Courier-Imap-SSL Zertifikat

Post by jp » 2003-03-20 10:00

Nyxus wrote:ich habe meins zwar auch von InstantSSL, aber wie begründest Du Deine Aussage?
das günstigste zertifikat für 25 euro ist nichts weiter, als dass die mit ihrem selbst erstellten root-zertifikat ohne stammzugehörigkeit zu einem standard-root-zertifikat, welches in programmen enthalten ist, unterschreiben. folglich kommt bei mir immernoch der fehler, dass das zertifikat nicht vertrauenswürdig ist. und 25 euro hab ich trotzdem bezahlt - na danke... das bekomm ich so auch selbst zum nulltarif hin. selbst signieren ist ja keine kunst... vor allem keine, die 25 euro rechtfertigt.

scythe42
RSAC
Posts: 154
Joined: 2002-10-14 18:30
Location: Internet

Re: Courier-Imap-SSL Zertifikat

Post by scythe42 » 2003-03-20 20:36

jP wrote:
Nyxus wrote:ich habe meins zwar auch von InstantSSL, aber wie begründest Du Deine Aussage?
das günstigste zertifikat für 25 euro ist nichts weiter, als dass die mit ihrem selbst erstellten root-zertifikat ohne stammzugehörigkeit zu einem standard-root-zertifikat, welches in programmen enthalten ist, unterschreiben. folglich kommt bei mir immernoch der fehler, dass das zertifikat nicht vertrauenswürdig ist. und 25 euro hab ich trotzdem bezahlt - na danke... das bekomm ich so auch selbst zum nulltarif hin. selbst signieren ist ja keine kunst... vor allem keine, die 25 euro rechtfertigt.
Das stimmt so nicht, das kostenlose ist self-singed. Das Chain Zertifikat ist von Thawte -> Geotrust -> FreeSSL und dann du. Das läuft 100%ig ohne Fehlermeldung. Du hast deinen Server nur falsch konfiguriert. Die Intermediate Zertifikate müssen auch mit rein. InstantSSL macht das gleiche wie FreeSSL ist nur paar US teurer.

Dass die von einer richtige Root CA signiert sind siehst du ja auch, wenn du Info beim Zertifikat machst!

Wie gesagt ich hab von den Dingern mehrere auf verschiedenen Server und es gibt keinerlei Fehlermeldungen. Der Fehler liegt definitiv bei dir, wenn es zu Fehlermeldungen kommt...

jp
Posts: 91
Joined: 2002-07-31 13:27
Location: München

Re: Courier-Imap-SSL Zertifikat

Post by jp » 2003-03-20 20:47

scythe42 wrote:Das stimmt so nicht, das kostenlose ist self-singed. Das Chain Zertifikat ist von Thawte -> Geotrust -> FreeSSL und dann du. Das läuft 100%ig ohne Fehlermeldung. Du hast deinen Server nur falsch konfiguriert. Die Intermediate Zertifikate müssen auch mit rein. InstantSSL macht das gleiche wie FreeSSL ist nur paar US teurer.

Dass die von einer richtige Root CA signiert sind siehst du ja auch, wenn du Info beim Zertifikat machst!

Wie gesagt ich hab von den Dingern mehrere auf verschiedenen Server und es gibt keinerlei Fehlermeldungen. Der Fehler liegt definitiv bei dir, wenn es zu Fehlermeldungen kommt...
ich denke nicht, dass ich da etwas falsch gemacht habe... schließlich habe ich nur meine testzertifikate durch das neu erworbene ersetzt. und das zertifikat wird ja auch als von Chaned SSL CA signiert angezeigt - aber dadrüber is nix mit Thawte/Geotrust:

CN = Chained SSL CA
O = FreeSSL
C = US

Schaus dir gern an: https://service.jp-solution.net/ (mittlerweile hab ich die Adresse gewechselt, da es ja eh nicht funktioniert...)

Vielleicht hab ich auch noch nen denkfehler drin - dann belehre mich bitte ;)

rootmaster
RSAC
Posts: 536
Joined: 2002-04-28 13:30
Location: Hannover

Re: Courier-Imap-SSL Zertifikat

Post by rootmaster » 2003-03-20 21:53

ich denke scythe42 hat recht ;)

also mozilla schnurrt bei euch beiden durch, aber ie6 endet im zertifizierungspfad bei deinem server (dagegen bei scythe42 nicht !)

du solltest das "rootzertifikat" noch mal neu installieren.
Both certificates must be installed for the server certificate to work properly. If the root certificate is not installed, you will receive a warning from your browser stating that the server certificate was issued by an untrusted certificate authority.
"back to the roots"
Cahn's Axiom:

When all else fails, read the instructions

scythe42
RSAC
Posts: 154
Joined: 2002-10-14 18:30
Location: Internet

Re: Courier-Imap-SSL Zertifikat

Post by scythe42 » 2003-03-20 22:39

jP wrote:ich denke nicht, dass ich da etwas falsch gemacht habe... schließlich habe ich nur meine testzertifikate durch das neu erworbene ersetzt. und das zertifikat wird ja auch als von Chaned SSL CA signiert angezeigt - aber dadrüber is nix mit Thawte/Geotrust:
so mal gerade mit

Code: Select all

openssl s_client -connect ssl.jp-solution.net:443
bei dir geguckt:

Code: Select all

CONNECTED(00000003)
depth=0 /C=DE/O=ssl.jp-solution.net/OU=See www.freessl.com/cps (c)02/OU=Domain Control Validated - Organization Not Validated/CN=ssl.jp-solution.net
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 /C=DE/O=ssl.jp-solution.net/OU=See www.freessl.com/cps (c)02/OU=Domain Control Validated - Organization Not Validated/CN=ssl.jp-solution.net
verify error:num=27:certificate not trusted
verify return:1
depth=0 /C=DE/O=ssl.jp-solution.net/OU=See www.freessl.com/cps (c)02/OU=Domain Control Validated - Organization Not Validated/CN=ssl.jp-solution.net
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
 0 s:/C=DE/O=ssl.jp-solution.net/OU=See www.freessl.com/cps (c)02/OU=Domain Control Validated - Organization Not Validated/CN=ssl.jp-solution.net
   i:/C=US/O=FreeSSL/CN=Chained SSL CA
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=/C=DE/O=ssl.jp-solution.net/OU=See www.freessl.com/cps (c)02/OU=Domain Control Validated - Organization Not Validated/CN=ssl.jp-solution.net
issuer=/C=US/O=FreeSSL/CN=Chained SSL CA
---
No client certificate CA names sent
---
SSL handshake has read 1315 bytes and written 320 bytes
---
New, TLSv1/SSLv3, Cipher is EDH-RSA-DES-CBC3-SHA
Server public key is 1024 bit
SSL-Session:
    Protocol  : TLSv1
    Cipher    : EDH-RSA-DES-CBC3-SHA
    Session-ID: C998CA264FFB246D3E5A107E74FC624A9692E90BE7AD3B7CBFAAE4CCEDB08966
    Session-ID-ctx: 
    Master-Key: D4930D7CBE39086298A02171845974A0ABEB07390035FC8F7A0D8F20E4C08375A7CB6D446195C2A35B8ACEEF6127381B
    Key-Arg   : None
    Start Time: 1048194595
    Timeout   : 300 (sec)
    Verify return code: 21 (unable to verify the first certificate)
---
1. Fehler bei dir, das Zertifikat ist auf den Hostnamen "ssl.jp-solution.net" ausgestellt. Wenn ich da mit "service.jp-solution.net" draufgehe, dann würde es noch einen wrong hostname error geben, wenn das Intermediate Zertifikat geprüft werden konnte.

2. Fehler bei dir, du hast die Zertifikate der übergeorndeten CAs nicht richtig eingebunden. Deswegen kann die Echtheit nicht überprüft werden.

Wenn du das korrigierst dann geht's auch ohne Fehler bei Browsern oder Mail-Clients

Beispiel von mir:

Code: Select all

[scythe42@wintermute:/etc/ssl/certs]# openssl s_client -connect www.xs-computer.com:443 
CONNECTED(00000003)
depth=1 /C=US/O=FreeSSL/CN=Chained SSL CA
verify error:num=20:unable to get local issuer certificate
verify return:0
---
Certificate chain
 0 s:/C=DE/O=www.xs-computer.com/OU=See www.freessl.com/cps (c)02/OU=Domain Control Validated - Organization Not Validated/CN=www.xs-computer.com
   i:/C=US/O=FreeSSL/CN=Chained SSL CA
 1 s:/C=US/O=FreeSSL/CN=Chained SSL CA
   i:/C=US/O=GTE Corporation/CN=GTE CyberTrust Root
---
Server certificate
-----BEGIN CERTIFICATE-----
MIIC8zCCAlygAwIBAgIDB4W1MA0GCSqGSIb3DQEBBAUAMDgxCzAJBgNVBAYTAlVT
MRAwDgYDVQQKEwdGcmVlU1NMMRcwFQYDVQQDEw5DaGFpbmVkIFNTTCBDQTAeFw0w
MzAyMDExNzU5MTNaFw0wNDAyMDIxNzU5MTNaMIGxMQswCQYDVQQGEwJERTEcMBoG
A1UEChMTd3d3LnhzLWNvbXB1dGVyLmNvbTEmMCQGA1UECxMdU2VlIHd3dy5mcmVl
c3NsLmNvbS9jcHMgKGMpMDIxPjA8BgNVBAsTNURvbWFpbiBDb250cm9sIFZhbGlk
YXRlZCAtIE9yZ2FuaXphdGlvbiBOb3QgVmFsaWRhdGVkMRwwGgYDVQQDExN3d3cu
eHMtY29tcHV0ZXIuY29tMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC1I4Zd
fKsn0OxpXAYshzn8r84yjTiZFhaP/eyQ1r1CUDKXN2V0wXjnEqQue68SFdAmj5Wc
NzXZTIhF6qktc1k4czgVCRP4VX3BDDohdCYfPJz/wMjzBeYzy81E1vxtCaALC+71
t289FunNeR++MxUGjbHlCXpm4st0/fLTmcA6VQIDAQABo4GQMIGNMBEGCWCGSAGG
+EIBAQQEAwIGQDAOBgNVHQ8BAf8EBAMCBPAwOQYDVR0fBDIwMDAuoCygKoYoaHR0
cDovL2NybC5nZW90cnVzdC5jb20vY3Jscy9jaGFpbmVkLmNybDAfBgNVHSMEGDAW
gBRFGTpmnRKiB+HtjCy3vFlNFHHZJzAMBgNVHRMEBTADAgEAMA0GCSqGSIb3DQEB
BAUAA4GBAIObtdjUjTNEzbhPRliJLNgjntA28Rojd8lI3A8/Fs6tk/t2cV8fLw/X
s35BMsfNYNBsvZvei2X9Ey+zOLR/ETV490i8tIAb6MuVtUuLidwIXw8OT8oL7Qa9
egIk4rMAHoRgB86p/HsCV28gfv/dGdVd0jfn4xHuxC6CQT2j8kd0
-----END CERTIFICATE-----
subject=/C=DE/O=www.xs-computer.com/OU=See www.freessl.com/cps (c)02/OU=Domain Control Validated - Organization Not Validated/CN=www.xs-computer.com
issuer=/C=US/O=FreeSSL/CN=Chained SSL CA
---
No client certificate CA names sent
---
SSL handshake has read 2183 bytes and written 320 bytes
---
New, TLSv1/SSLv3, Cipher is EDH-RSA-DES-CBC3-SHA
Server public key is 1024 bit
SSL-Session:
    Protocol  : TLSv1
    Cipher    : EDH-RSA-DES-CBC3-SHA
    Session-ID: 220E5B07833616F4EC3311D040ED46F3F292495A6A804811A336A19E1F2F0628
    Session-ID-ctx: 
    Master-Key: C644BC9324252780167E4197F7D3A3065A62D34C740F0B5FCB233460A17399DA36DB61C621A67FE1927400B23E0483C3
    Key-Arg   : None
    Start Time: 1048194650
    Timeout   : 300 (sec)
    Verify return code: 20 (unable to get local issuer certificate)
---
Der Fehler 20 ist bei openssl ok. Hab die root CA fürs verify von openssl bei mir nicht auf der Workstation drin. Wenn das der einzige Fehler bei nem Chain Zertifikat ist macht das nichts. Siehst du ja bei dir oben, wie es sonst aussieht. Spielt für Browser und Mail-Clients (pine ist nen Sonderfall) keine Rolle ist ne openssl verify Geschichte.

Das "verify 0" ist das wichtige am Anfang...

Guck ruhig mal bei mir: https://www.xs-computer.com

PS: Das mit Thawte noch oben war bei nem anderen Anbieter. Die Cybertrust-Root-CA ist schon richtig ganz oben.

tobi
Posts: 121
Joined: 2002-08-02 20:58
Location: München

Re: Courier-Imap-SSL Zertifikat

Post by tobi » 2003-03-21 10:48

hi,

@scythe42: Vielleicht könntest du mal ein kleines Howto schreiben: Erstellung, Beantragung und Einbindung.

Das wäre super!

gruß tobi

jp
Posts: 91
Joined: 2002-07-31 13:27
Location: München

Re: Courier-Imap-SSL Zertifikat

Post by jp » 2003-03-21 11:06

tobi wrote:@scythe42: Vielleicht könntest du mal ein kleines Howto schreiben: Erstellung, Beantragung und Einbindung.
fände ich auch nicht schlecht - wie ich zusätzlich zu meinem zertifikat noch die überliegenden installiere, ist mir auch schleierhaft (oder hab ich da was falsch verstanden?)...

scythe42
RSAC
Posts: 154
Joined: 2002-10-14 18:30
Location: Internet

Re: Courier-Imap-SSL Zertifikat

Post by scythe42 » 2003-03-21 13:33

jP wrote:
tobi wrote:@scythe42: Vielleicht könntest du mal ein kleines Howto schreiben: Erstellung, Beantragung und Einbindung.
fände ich auch nicht schlecht - wie ich zusätzlich zu meinem zertifikat noch die überliegenden installiere, ist mir auch schleierhaft (oder hab ich da was falsch verstanden?)...
Noe. Howtos gibts doch genug im Netz. Kein Lust das 100000000000 zu schreiben. :-( Ausserdem beschreiben es die Anbieter auf ihren Seiten auch nochmal.

Ansonsten: Cybertrust Zertifikat und Freessl Zertifikate hintereinander in eine Datei packen und im Apache mit "SSLCertificateChainFile" auf dieses File in der SSL Config zeigen. Fertig.

Für Qmail und Courier-IMAP hab ich ja im Toaster How-To beschrieben wie die beiden die Files mit den Zertifikaten gerne hätten.

Generell gilt: Immer die ganze Kette angeben, damit die auch geprüft werden kann! Manche Software will halt die Kette und Key/Zertifikat zusammen in einer Datei haben, andere getrennt. Siehe jeweilige Anleitung der Software oder man bemühe google ;-)

kewlzero3
Posts: 9
Joined: 2003-01-16 13:46
Location: Osnabrück

Re: Courier-Imap-SSL Zertifikat

Post by kewlzero3 » 2003-03-22 12:49

mahlzeit,

ja das telefonat hat gehofen jp.
dank dir!

ich hab das zertifikat jetzt einfach nochmal für meinen host erstellt dann meckert auch mozilla nicht mehr - nur der ie - damit kann ich leben :P

mfg
carsten