ssl aufräumen [Gelöst]

unix1988 · Beitrag von **unix1988** » 12.01.2015 13:21:02

Hallo

wie bekomme ich den ssl certivikarte auf greumt weil ich komme nicht auf dem slieve server trauf bekomme immer diese meldung das

sieve-connect -p PORT dowmen
STARTTLS promotion failed: SSL connect attempt failed with unknown error error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed

???

Grus unix

unix1988 · Beitrag von **unix1988** » 14.01.2015 13:26:00

kenn da keiner was wo mir filcht helfen kann

Grus unix1988

uname · Beitrag von **uname** » 14.01.2015 13:59:19

Es könnte vielleicht am Client liegen. Bin mir aber überhaupt nicht sicher.

http://www.expertenaustausch.com/mail-c ... f-t1231146

shoening · Beitrag von **shoening** » 14.01.2015 14:43:35

Hi,

versuche mal, Dir mittels openssl s_client das Zertifikat von dem Server herunterzuladen:

Code: Alles auswählen

openssl s_client -connect <host>:<port>

Dann kann man vielleicht mal schauen, ob mit dem Zertifikat irgendetwas nicht in Ordnung ist.

Nicht in Ordnung kann z.B. sein:

Zertifikat abgelaufen
Aussteller des Zertifikats ist nicht bekannt (z.B. bei selbst-signierten Zertifikaten)
...

Ciao
Stefan

unix1988 · Beitrag von **unix1988** » 14.01.2015 16:18:28

bitte seher

CONNECTED(00000003)
139883212666512:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:795:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 305 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
---

dufty2 · Beitrag von **dufty2** » 14.01.2015 16:51:13

shoening hat geschrieben: versuche mal, Dir mittels openssl s_client das Zertifikat von dem Server herunterzuladen:
Code: Alles auswählen
openssl s_client -connect <host>:<port>

So einfach ist das in diesem Fall leider nicht:
Denn das "(Manage)sieve-Protokoll" nutzt Port 4190:

Code: Alles auswählen

$ grep -i sieve /etc/services 
sieve           4190/tcp                        # ManageSieve Protocol

Erschwerend kommt hinzu, dass es sich hierbei um STARTTLS handelt und nicht um das "normale" TLS.
Nun aber beherrscht openssl das STARTTLS "nur" für die Protokolle "smtp", "pop3", "imap", "ftp" und "xmpp",
aber meines Wissens nach _nicht_ für "sieve".

Es müsste aber sowas wie

Code: Alles auswählen

$ sieve-connect --debug ...

geben resp. in den Logfiles des (Cyrus-)Imap-Server selbst mal schauen.

unix1988 · Beitrag von **unix1988** » 14.01.2015 17:37:23

so hir habe ich noch das für euch mit debug

sieve-connect --debug -p 4190 imap.ethgen.de
setup: Need to find SSL_ca_path, trying to ask openssl
setup: Have set SSL_ca_path to /usr/lib/ssl/certs
connection: trying <imap.ethgen.de:4190>
connection: remote host address is [5.9.7.51] port [4190]
<<< "IMPLEMENTATION" "Dovecot Pigeonhole"\r\n
<<< "SIEVE" "fileinto reject envelope encoded-character vacation subaddress comparator-i;ascii-numeric relational regex imap4flags copy include variables body enotify environment mailbox date ihave"\r\n
<<< "NOTIFY" "mailto"\r\n
<<< "SASL" ""\r\n
<<< "STARTTLS"\r\n
<<< "VERSION" "1.0"\r\n
<<< OK "Dovecot ready."
-T- will use TLS certs from directory "/usr/lib/ssl/certs"
-T- using hostname 'imap.ethgen.de', verification verify-peer cert-required
>>> STARTTLS\r\n
<<< OK "Begin TLS negotiation now."\r\n
-T- TLS activated here [256 bits]
>>> NOOP "STARTTLS-RESYNC-CAPA"\r\n
<<< "IMPLEMENTATION" "Dovecot Pigeonhole"\r\n
<<< "SIEVE" "fileinto reject envelope encoded-character vacation subaddress comp
arator-i;ascii-numeric relational regex imap4flags copy include variables body enotify environment mailbox date ihave"\r\n
<<< "NOTIFY" "mailto"\r\n
<<< "SASL" "PLAIN"\r\n
<<< "VERSION" "1.0"\r\n
<<< OK "TLS negotiation successful."
<<< OK [TAG "STARTTLS-RESYNC-CAPA"] "Done"
Sieve/IMAP Password:
>>> AUTHENTICATE "PLAIN" {24+}\r\n
>>> AG1hcmlhbgBvaFM4a2Vpeg==\r\n
<<< NO "Authentication failed."\r\n
>>> LOGOUT\r\n
... no line read, connection dropped?
Connection dropped unexpectedly when trying to read.

aber das passwort stimt von mir

Grus unix1988

dufty2 · Beitrag von **dufty2** » 14.01.2015 18:02:15

unix1988 hat geschrieben:
$ sieve-connect --debug -p 4190 <servername>

Da fehlt noch die Angabe des Usernamen, also korrekt wäre

$ sieve-connect --debug -p 4190 <servername> -u hans

TLS (genauer STARTTLS) hat auf jedenfall diesmal geklappt, ansonsten wärst Du gar nicht bis zur Passwortabfrage gekommen.

unix1988 · Beitrag von **unix1988** » 14.01.2015 18:18:45

ich habe es habe müchsen einfach nur das Packet installiren und es ging ca-certificates_20130906_all.deb danke an euch allen

Grus unix1988

debianforum.de

ssl aufräumen [Gelöst]

ssl aufräumen [Gelöst]

Re: ssl aufräumen

Re: ssl aufräumen

Re: ssl aufräumen

Re: ssl aufräumen

Re: ssl aufräumen

Re: ssl aufräumen

Re: ssl aufräumen

Re: ssl aufräumen