SSL Frage, Dovecot, Postfix und Apache

D

Domi

Member
Hallo Leute, ich habe da mal eine kleine und doch etwas speziellere Frage :)

Ich persönlich bin bei startssl.com registriert und kann mir SSL Zertifikate erstellen. Funktioniert für mich privat auch prima. Zertifikat erstellen, auf meinem Server im Apache, Dovecot und Postfix eintragen, fertig ist der Spaß :)

Gebe ich die HTTPS Adresse von meinem ISPConfig ein, funktioniert alles ohne das am Zertifikat gemeckert wird. Das gleiche gilt für meinen Dovecot und Postfix. Das ganze betrifft meinen kleinen vServer den ich bei Hetzner stehen habe :)

Jetzt geht die Frage / Thematik in zwei Richtungen...
1.) Ich hatte vor ein paar Wochen hier in der Firma mit einem externen Dienstleister eine Zeiterfassung installiert. Diese kann auch Emails über einen SMTP versenden um die Chefs über diverse Dinge zu informieren.

Das funktionierte aber nicht. In der mail.log habe ich folgende Einträge gefunden...
Code: 
Oct 18 15:22:54 rsrv03 postfix/smtpd[2119]: connect from p4FC9AE14.dip0.t-ipconnect.de[79.xxx.xxx.20]
Oct 18 15:22:55 rsrv03 postfix/smtpd[2119]: SSL_accept error from p4FC9AE14.dip0.t-ipconnect.de[79.xxx.xxx.20]: 0

Oct 18 15:22:55 rsrv03 postfix/smtpd[2119]: warning: TLS library problem: 2119:error:14094416:SSL routines:SSL 3_READ_BYTES:sslv3 alert certificate unknown:s3_pkt.c:1256:SSL alert number 46:

Oct 18 15:22:55 rsrv03 postfix/smtpd[2119]: lost connection after STARTTLS from p4FC9AE14.dip0.t-ipconnect.de[79.xxx.xxx.20]

Oct 18 15:22:55 rsrv03 postfix/smtpd[2119]: disconnect from p4FC9AE14.dip0.t-ipconnect.de[79.xxx.xxx.20]
----------------------
Oct 18 15:23:31 rsrv03 postfix/submission/smtpd[2138]: connect from p4FC9AE14.dip0.t-ipconnect.de[79.xxx.xxx.20]
Oct 18 15:23:31 rsrv03 postfix/submission/smtpd[2138]: SSL_accept error from p4FC9AE14.dip0.t-ipconnect.de[79.xxx.xxx.20]: 0

Oct 18 15:23:31 rsrv03 postfix/submission/smtpd[2138]: warning: TLS library problem: 2138:error:14094416:SSL routines:SSL3_READ_BYTES:sslv3 alert certificate unknown:s3_pkt.c:1256:SSL alert number 46:

Oct 18 15:23:31 rsrv03 postfix/submission/smtpd[2138]: lost connection after STARTTLS from p4FC9AE14.dip0.t-ipconnect.de[79.xxx.xxx.20]

Wir hatten dann dieser komischen Software gesagt, dass es kein SSL verwenden soll, aber diese ließ sich davon nicht beirren und meckerte das SSL Zertifikat an. Kann es sein, dass Dovecot, Postfix oder die Zertifikate selbst eine Information benötigen, damit sie als sslv3 erkannt werden??

2.) Das ist eine eher persönliche Frage... Es geht um folgendes, ich habe zwei / drei Domains auf diesem Server, eine Domain soll wegen dem Buchungssystem komplett über SSL laufen und eine weitere Domain enthält den Piwik zur Analyse. Der Piwik selbst soll auch SSL Verschlüsselt sein.

Ich weiß das man pro IP nur ein SSL Zertifikat verwenden kann. Ich glaube SIN (oder wie das heißt) ist etwas das mir anschauen sollte und damit wäre es dann machbar, für unterschiedliche vHosts und einer IP unterschiedliche SSL Zertifikate zu verwenden, war das korrekt?

Im ISPConfig könnte ich auch für jede Domain ein anderes Zertifikat hinterlegen. Wenn das funktioniert, wer könnte denn anschließend Probleme bekommen, beim Besuch meiner Seiten?!

Gruß, Domi
 
GwenDragon said:
1) Du willst kein SSL3? Was dann? Nur TLS 1.x?
Click to expand...
@GwenDragon, klar.. SSL3 nehme ich gerne dazu. Ich frage mich halt nur, was da noch nicht eingebunden wurde und wieso der Fehler kommt.

@Joe User, ich schaue nachher mal kurz nach wegen der CRL Datei, ich glaube aber diese ist mit angegeben. Kann Dir aber genaueres sagen, wenn ich im Büro oder Zuhause an einem PC sitze wo Putty installiert ist :D

Und was SNI angeht, da werden wohl die Windows XP Systeme dann meckern. Ich glaube nicht, dass die so etwas unterstützen. Aber schon mal gut zu wissen :)
 
Domi said:
Und was SNI angeht, da werden wohl die Windows XP Systeme dann meckern. Ich glaube nicht, dass die so etwas unterstützen.
Click to expand...
Wenn du XP unterstützen musst, hast du Pech.

Dann kannst du ja eine Website ohne SSL ausliefern.
Wenns ein Shop ist oder sonstiges sicherheitsbedürftiges gehts natürlich nicht. Wobei XP eh löchrig ist ;)
 
Last edited by a moderator:
Du kannst bei StartSSL ab Class2 auch Multidomain/Wildcard Zertifikate erstellen.
So hab ich das gelöst. Kommt eine neue Domain dazu wird ein neues Zertifikat erstellt, das alte gelöscht und gut ist.
 
So, was die SSL Files angeht, habe ich im Postfix nur folgende Files eingebunden...
Code: 
smtpd_tls_cert_file = /etc/ssl.keys/domain.tld.crt
smtpd_tls_key_file = /etc/ssl/private/domain.tld.key
smtpd_tls_ca_file = /etc/ssl.keys/startcom.org.ca

@schnoog, bei Identity Card ist ein Class 2 Registrierung eingetragen. Jetzt müsste ich nur mal schauen, über welchen Menüpunkt ich das mache. Oder könntest Du mir sagen wohin ich da gehen muss um das MultiDomain Zertifikat zu erstellen?!

Gruß, Domi
 
Hast Du Class2 schon verfügbar? Also bezahlt, Check-Anruf bekommen etc?
Dann kannst Du nämlich ganz normal ein Cert erstellen, und beliebig viele Domains einbinden.
 
Yes, im April habe ich das alles schon erledigt... :)
Rechts im Menü unter "SSL/TLS Server" ist im Moment nur eine Domain wie folgt gelistet, "*.domain.tld"

Da ich meine zwei persönlichen vServer durchnummeriert habe 01.domain.tld, 01.domain.tld etc., habe ich mir dieses Wildcard Zertifikat für ISPConfig, Dovecot und Postfix erstellt. Das funktioniert auch soweit ganz gut. Wenn ich also Firefox oder Thunderbird ganz neu installiere und mich dann mit dem ISPConfig oder dem SMTP / IMAP verbinde, sagt er nicht so etwas wie "nicht sicheres Zertifikat", sondern verbindet mich gleich :)

Was die SSLv3 Geschichte angeht, vermutet Joe User ja das mir die CRL fehlt... und wenn ich das richtig verstanden habe bei StartSSL muss ich eigentlich nur die richtige CA Datei verwenden. Da es bis jetzt immer funktioniert hatte, ging ich davon aus das ich die richtige verwendet hatte.

Aber nur kurz zur Klarstellung, die "Class 2 Intermediate Server CA" muss ich mir von StartSSL runter laden und als CA Datei bei mir einbinden, ist doch korrekt. Oder?

Gruß, Domi
 
Moin

Die CRL kannst Du nur verwenden, wenn Du auch zurückgezogene Zertifikate hast. Leere CRL funktionieren nicht.

Das Class2 Zertifikat musst Du an deine Zertifikatdatei anhängen. Damit die Clients die Zertifikatskette überprüfen können, muss der Server alle Zertifikate mitliefern, die für eine vollständige Zertifikatskette erforderlich sind.

Thorashh
 
Moin moin... Okay, ich habe ja gar keine Zertifikate zurück gezogen. Dann sollte das ja kein Problem sein :)

Eine andere Frage habe ich da bezüglich SSL noch... mein Kollege hat ein HTC Desire Handy (Android), und wenn er mit seinem Smartphone über den Browser auf unsere Domain drauf geht, bekommt er einen Fehler wegen dem SSL Zertifikat. Kann mir da einer sagen, woran das liegen könnte?

Es geht um diese Seite und da bin ich dann ein kleines Bisschen überfragt, da ich das Problem auf meinem Handy nicht habe...

Gruß, Domi
 
Domi said:
mein Kollege hat ein HTC Desire Handy (Android), und wenn er mit seinem Smartphone über den Browser auf unsere Domain drauf geht, bekommt er einen Fehler wegen dem SSL Zertifikat. Kann mir da einer sagen, woran das liegen könnte?

Es geht um diese Seite und da bin ich dann ein kleines Bisschen überfragt, da ich das Problem auf meinem Handy nicht habe...
Click to expand...
bei mir kommt keine SSL-Warnung. Getestet mit mobilem Firefox, Chrome, Opera.

Kann es sein, dass die Root-Zertifikate auf dem Mobilgerät veraltet sind? Notfalls muss er sich die aktuellen von GeoTrust Root Certs herunter laden.
 
Last edited by a moderator:
GwenDragon said:
Kann es sein, dass die Root-Zertifikate auf dem Mobilgerät veraltet sind? Notfalls muss er sich die aktuellen von GeoTrust Root Certs herunter laden.
Click to expand...
Okay, das wäre dann eine Lösung für ein Endgerät bei uns im Haus. Aber wie kann man das am elegantesten lösen, bei potentiellen Besuchern von denen wir das Handy nicht hier haben? :D

Nachtrag: Auf einer anderen Domain, die auf einem völlig separierten vServer liegt, existiert auf dem Android Gerät exakt das selbe Problem... kann das wirklich an den Root-Zertifikaten liegen? :(
 
Last edited by a moderator:
Ich bekomme auf meinem Samsung S3 mit Android 4.1 keine SSL-Zertifikatsfehler auf der von dir genannten Seite secure-tr......de.
 
Okay, dann liegt deine Vermutung vielleicht nahe das die Root-Zertifikate auf dem alten Android System vom Kollegen einfach veraltet sind... Was anderes würde mir jetzt sonst auch nicht einfallen.

Nachtrag1: Ich habe noch etwas heraus gefunden, was das HTC Desire von meinem Kollegen angeht. Er kann auf unserer Firmenseite nicht surfen dank des Zertifikates, aber https://www.google.de funktioniert problemlos... Was könnte da das Phänomen sein? :)

Nachtrag2: Okay, bevor wir uns hier drehen und überlegen wo das Problem sein könnte, habe ich eben mal im Android Forum ein Topic erstellt...
 
Last edited by a moderator:
Kleine Hilfe vielleicht von meiner Seite zu den Zertifikaten (StartCom):

Es wird für WebServer folgendes benötigt:

- Das Server-Zertifikat (als allerwichtigstes natürlich) - Das was Ihr Euch bestellt. Nennen wir es "ssl.cert".
- Das KeyFile En-Crypted oder De-Crypted. (Wenn das En-Cryptete zum Einsatz kommt, muss an die zu startende, den key verwendende Anwendung die Passphrase mitbekommen.)
- Das File "ca.pem" - Certificate-Authority
- Das sub.classX.server.ca.pem (muss der Class EURES bestellten Certs entsprechen)

--------------------------------------------------------------------------
--------------------------------------------------------------------------

In der Apache-vhost-Config:

Es versteht sich von selbst, was das "KeyFile" bedeutet...
Dasselbe gilt für das CertFile (ssl.crt)
Mit der SSLCACertificateFile und dem SSLCertificateChainFile gibt es häufig Verwechslungen.

In der VHost-Config ist das sub.classX.server.ca.pem das SSLCertificateChainFile

Und das ca.pem das SSLCACertificateFile...

--------------------------------------------------------------------------
--------------------------------------------------------------------------

Beim Mailserver... ...muss man etwas "tricksen" Und aus dem heruntergeladenen ssl.crt, dem sub.classX.server.ca.pem und dem ca.pem eine einzige Datei erstellt:

Code: 
cat ssl.crt sub.classX.server.ca.pem ca.pem > ssl_all_in_one.crt
beispielsweise. Dann im Mailserver das KeyFile und das "ssl_all_in_one.crt" angeben.

Hab mittlerweile einige Seiten hinter mir, wo es massig probleme mit Certs gab, Mail-/Web-Server nicht / oder unzureichend liefen, es "merkwürdige" Fehler mit bestimmten Browsern gab: FF lief (wie fast immer) excellent, IE zeigte "Sicherheitsprob mit Webseite" Android ebenfalls (selbst mit FF)...

Nach obiger Anleitung gehts. Revocate.crt braucht man nicht. Bzw. nicht für den hier genannten Zweck.
Natürlich kann man alles erweitern und "Auth per Certificate" konfigurieren, so, wie es StartSSL für den UserLogin auf der PKI-Seite macht. Aber das ist hier jetzt irrelevant...

Zur Sicherheit: Das KeyFile bitte entsprechend chmod(en)!!! Ansonsten wird es world-readable und jemand kann Eure Identität (Seite) annehmen:
Code: 
chmod 0600 keyfile.key
Der Eigentümer und Gruppe sollten "root" bleiben... (Solange Apache beim Start die certs/key liest, tut er dies unter dem root-user, kann sie also lesen). Dann kann nur noch root es... (mit vorgenannten Rechten)

Möge man mich schlagen, wenn ich was falsch erklärt hab :o :o
 
Last edited by a moderator:
You must log in or register to reply here.
Back
Top