SMTP Proxy Zertifikatsfehler

muerlemann

Hallo.
Wir haben bei uns in der Firma einen neuen Mailserver aufgesetzt und wir nutzen den SMTP-Proxy in der Firewall. Die Funktion ist soweit gegeben. Störend ist nur dass im Log bei jedem Verbindungsaufbau ein Zertifikatsfehler wie folgt angezeigt wird:

Jan 8 06:11:23 postfix/smtp[4798]: certificate verification failed for 192.168.0.244: num=20:unable to get local issuer certificate
Jan 8 06:11:23 postfix/smtp[4798]: certificate verification failed for 192.168.0.244: num=27:certificate not trusted
Jan 8 06:11:23 postfix/smtp[4798]: certificate verification failed for 192.168.0.244: num=21:unable to verify the first certificate

Wie bekomme ich diese Meldungen weg? Hat jemand eine Lösung für mich?

Gruß Andi

ffischer

Hallo,
handelt es sich da um einen Exchange Server?
Wenn ich mich nicht irre.
Dann nehme ich mal an das das Mail Server Zertifikat vom System erstellt worden ist, das kann natürlich nicht Verifiziert werden.
Abhilfe kann da ein off. Server Zertifikat sein e-trust oder alternative Zertifikatsstellen.

Dann kann auch das Zertifikat nach geprüft werden.
Alternativ Ignorieren.

gruß

dominikg

Hallo,

Entschuldigt bitte das ich einen älteren Post nehme und mich dran hänge.
Ich habe aber das gleiche Problem, Endian Community 2.5.1 zur Zeit.

Die Endian hat mehrere öffentliche IPs, im grünen Netz stehen Mailserver.
Der SMTP Proxy läuft ist auf Rot aktiv und auf Grün transparent aktiv.

Wenn ich hier nun das normale Zertifikat nehme das die Endian sich selbst erzeugt läuft der Proxy, Mails werden versendet und Empfangen.
Es kommen halt Zertifikatsmeldungen das es Selbstsigniert ist beim Emfänger und auf der EFW im Log.

Hier wollte ich jetzt ein eigenes Zertifikat einbinden von Comodo. (Testzertifikat für eine einzelne Domain) das scheint zu klappen.

Nehme ich nun aber ein Domainvalidiertes Multidomain Zertifikat mit mehreren DSN im Zertifikat bekomme ich Fehlermeldungen und an manche Mailserver werden keine Mails mehr versendet.

postfix/smtp[2144]: certificate verification failed for mx-ha02.web.de: num=19:self signed certificate in certificate chain
TLS library problem: 2100:error:0D07A0AA:asn1 encoding routines:ASN1_mbstring_copy:unknown format:a_mbstr.c:142:
Apr 22 15:30:04 postfix/smtp[5847]: 46925267A2: to=, relay=mx.freenet.de[195.4.92.211]:25, delay=1.3, delays=0.03/0.04/0.94/0.28, dsn=2.0.0, status=sent (250 OK id=1Wcalw-0001jl-C3)
Apr 22 15:30:04 postfix/smtp[5847]: warning: TLS library problem: 5847:error:0D07A0AA:asn1 encoding routines:ASN1_mbstring_copy:unknown format:a_mbstr.c:142:
Apr 22 15:30:04 postfix/smtp[5847]: warning: error decoding peer certificate subject CN data

Diese Meldungen bekomme ich beim Self Signed der Endian auch was ja normal ist hier gibt es auch keine Zertifikatsketten:
Jan 8 06:11:23 postfix/smtp[4798]: certificate verification failed for 192.168.0.244: num=20:unable to get local issuer certificate
Jan 8 06:11:23 postfix/smtp[4798]: certificate verification failed for 192.168.0.244: num=27:certificate not trusted
Jan 8 06:11:23 postfix/smtp[4798]: certificate verification failed for 192.168.0.244: num=21:unable to verify the first certificate

getauscht habe ich die Zertifikate unter
/etc/httpd/
server.key
Dieses wurde mit cat multidomain.crt zwischenzertifikat.crt rootzertifikat.crt > server.crt erstellt
server.crt
server.csr

wenn ich das prüfe mit dem befehl wird auch ein ok zurück gegeben und die zertifikatskette läuft auch durch
openssl s_client

Was mir in der main.conf aufgefallen ist ist das dort keine ca datei oder pfad angegeben werden. Das heist der Endian Proxy kann doch hier keine Zertifkatsketten prüfen bzw. zertifikate prüfen?.

Mache ich hier etwas falsch oder hat jemand einen Tipp der soetwas schon einsetzt.

MFG

Dominik

Benutzer online in diesem Thema