Mail kann die Identität von "xyz" nicht überprüfen

OrinocoDelta · #1 06.11.2008, 14:11

Hallo liebes Forum;

seit ca. 2 Wochen versuche ich dieses Problem in Verbindung mit meinem root Server bei strato autolinker.com autolinking image

zu lösen.

Strato Root Server (Suse 10.3)
+ Plesk 8.6
+ qmail

Client's (MacBook's, MacBook Pro's)
Leopard 10.5.5 (aktuell Up-to-Date)

Kurze Schilderung was ich bis jetzt versucht habe:
...viele Work-Arounds aus dem Netz, z.B.

a) dem Zertifikat immer zu vertrauen - KEIN Erfolg!
b) das Zertifikat auf den Schreibtisch ziehen und dann per Doppelklick manuell dem "Schlüsselbund" hinzufügen und auf "Immer Vertrauen" setzen
c) den Servernamen h123456789.stratoserver.net als Eingangsserver in der mail.app eintragen

Bis hierhin aber keine Änderung und kein Erfolg! Szenario ist immer wieder das gleiche, bestätige und vertraue ich dem einem Zertifikat - klappt es bis ich eine Email versenden will; dann kommt die Meldung wieder!

Beende ich mail.app fängt das Spiel wieder von vorne an :-(

Können wir evtl. gemeinsam das Problem lösen? Jegliche Zusatzinfo's die ich nun evtl. für ein weiterkommen nicht hier erwähnt habe, liefere ich gerne sofort nach....

Liebe & Frieden

elias5000 · #2 06.11.2008, 16:00

Ich nehme an, es geht um das SSL-Zertifikat des Webservers.

1. Prüfe, dass der Hostname, der in der als Posteingangsserver benutzt wird identisch ist mit dem CommonName im Zertifikat.

2. Importiere das Zertifikat der CA, welche das ServerCert ausgestellt hat in das Schlüsselbund "System" und markiere es als Vertrauenswürdig für SSL.

3. Nochmal probieren und Ergebnisse hier posten. Zusammen mit der Ausgabe von "openssl x509 -text -noout -in <ServerCert>"

OrinocoDelta · #3 06.11.2008, 16:24

MOD: Bitte keine Fullquotes! Danke

zu 1) im Posteingangsserver steht bei mir der Servername - der auch mit dem CommonName im Zertifikat gleich ist;
also der Standard strato autolinker.com autolinking image

Name --> h123456789.stratoserver.net

zu 2) das ist ja ständig von mir erfolgt!

zu 3) gebe ich: "openssl x509 -text -noout -in <ServerCert>" in der Konsolte ein, geht das nicht! Bekomme die Fehlermeldung: -bash: syntax error near unexpected token 'newline'

ABER!!!!

a )ich habe auf dem Server einige Domains und der Fehler trat natürlich bei allen auf!
b) ich habe allerdings nach meinem Eintrag mal zum Probieren ein Domain Zertifikat gelöscht!

Siehe da jetzt geht es komischerweise (keine Identitäts Meldung mehr!) Kann es nun sein das dieses der Fehler war? Es sollte doch aber auch mit einem selbst erstellten Domain Zertifikat gehen, oder etwa nicht???

Oder geht ein Zertifikat immer nur für eine IP; und wenn man auf einer IP eben 100 Domains hat - muss man damit leben??? (Glaube hatte das mal gelesen!)

Und zum Schluss nochmal die Frage der Fehlermeldung auf der Konsole....

! Super wie schnell da eine Antwort kam. Danke!

elias5000 · #4 06.11.2008, 16:43

Je Service kann auf einer IP nur ein Zertifikat benutzt werden.

Zertifikate werden per Default von OSX in die Keychain "Anmeldung" importiert. CA-Zertifikate sollte man jedoch in die Keychain "System" importiert werden. Irgendwie macht das einen Unterschied.

Man sollte auf Webservern keine direkt selfsigned Zertifikate benutzen sondern sich lieber eine selfsigned CA aufsetzen, mit der man dann Zertifikate ausstellt.
Das hat u.A. den Vorteil, dass man nur die CA imporieren muss und alle damit ausgestellten Zertifikate als gültig angesehen werden.

Wie man sich eine solche CA aufsetzt ist u.A. hier sehr gut beschrieben: OpenSSL Certificate Authority Setup

OrinocoDelta · #5 05.12.2008, 00:40

ich habe viel probiert und nichts rein gar nichts hat geholfen... schon seltsam das dieser Fehler nicht soweit verbreitet ist ;-)

nun die Lösung des Problems ist hier zu finden:

Hier klicken

Ich wollte so fair bleiben und nicht einfach alles per Copy & Paste hier reinhauen...

Interessant finde ich nur das es soviele andere Ansätze geben soll die zum Ziel führen - aber nichts hatte geholfen :-( Wochen, Tage & Stunden vergingen - aber kein Vorwärtskommen!!!

SSL ist ja nichts ungewöhnliches und wird bestimmt nicht nur von mir genutzt!

ES FUNKTIONIERT JA NUN BEI MIR!!! EINWANDFREI!!! Aber:

Wie bei "netzturbine" beschrieben ist bei der Einrichtung von Suse + Plesk durch strato autolinker.com autolinking image

das Zertifikat mit "localhost" als Servername angelegt worden.

...geht man nun hin und ändert den hostnamen oder auch nicht, so sollte doch dieses Problem bei jedem der SSL in Verbindung mit IMAP oder Pop3 nutzen möchte auftreten - richtig?

... die Einstellungen die man im Plesk Admin Panel vornehmen kann, die sind in kleinster Weise Hilfebringend - aber wieso? Wieso werden die Zertifikate nicht Server-, bzw. Domainweit für die Dienste übernommen?

... sind die Zertifikate in Plesk die man für den Server und für die Domains einrichten kann nur für die Plesk Oberfläche???

... also ich meine http://dein.domainname.tld:8443 ???

... Nun mal sehen was als nächstes kommt, Danke trotzdem an alle die das Thema interessiert und die mitgeholfen haben!!!

elias5000 · #6 05.12.2008, 09:31

Zitat:

Zitat von OrinocoDelta

Wie bei "netzturbine" beschrieben ist bei der Einrichtung von Suse + Plesk durch strato autolinker.com autolinking image

das Zertifikat mit "localhost" als Servername angelegt worden.

Ich nehme an, das ist gewolt. Das Zertifikat wird Plesk bei der Installation vermutlich mitbringen oder es ist im Installationsimage enthalten.

Damit ein Zertifikat vertrauenswürdig ist, darf niemand außer derjenige, der den Server betreibt im Besitz des zugehörigen Key sein. - Also ist so ein Default-Zertifikat auf jeden Fall als kompromittiert zu betrachten.

Es wäre also total umsonst, die Server mit einem eigenen Zertifikat zu übergeben, da dieses sowieso ausgetauscht werden muss.
Daher wird ein neutraler hostname als CN eingetragen - eben localhost.

In meiner ersten Antwort zielte übrigens 1. genau auf das, was hier auch das Problem war. (Nur mal so am Rande.)