StartSSL Postfix und Courier

    Hallo Ihr Lieben,


    bin gerade ein wenig am verzweifeln, weil ich eigentlich denke alles richtig zu machen. Mein Cert ist abgelaufen und ich wollte es erneuern. Habe das StartSSL Free Cert.


    Eigentlich ist die Vorgehensweise ganz einfach:
    1. private.key und server.csr mittels openssl req -newkey rsa:2048 -subj /CN=DOMAIN.DE -nodes -keyout private.key -out server.csr generieren
    2. server.csr bei StartSSL einfügen.
    3. Ausgabe von StartSSL in server.crt einfügen.
    4. CA-Bundle.crt von StartSSL downloaden


    Postfix Konfiguration einfügen:


    und für Courier dann:
    5. cat /etc/postfix/ssl/private.key /etc/postfix/ssl/server.crt > /etc/courier/imapd.pem
    6. cat /etc/postfix/ssl/private.key /etc/postfix/ssl/server.crt > /etc/courier/popd.pem


    Irgendwie wirft mir Thunderbird aber sofort ein Fehler aus und die Log sagt:

    Code
    couriertls: read: error:14094412:SSL routines:SSL3_READ_BYTES:sslv3 alert bad certificate


    Mach ich irgendwas falsch?!

    Nein. Postfix wirft mir auch Fehlermeldungen aus...


    Code
    warning: TLS library problem: 24213:error:14094415:SSL routines:SSL3_READ_BYTES:sslv3 alert certificate expired:s3_pkt.c:1108:SSL alert number 45:


    Das Ding ist, dass ich gerade wieder das alte Cert eingespielt habe und mit Thunderbird abgerufen habe (dabei habe ich vergessen die Sicherheitsausnahmeregelung zu bestätigen) und es kam die gleiche Meldung. Vielleicht liegt es auch an meinem Thunderbird?

    Hi,


    ich arbeite zwar nicht mit beiden Dienste jedoch sind mir so im Allgemeinen Fehler aufgefallen. So nutzt du das CA-Bundle, welches aus allen Zertifikaten auch das Root besteht, vermutlich dies: https://www.startssl.com/certs/ca-bundle.crt .. dies ist jedoch falsch. Du solltest nur das passende Sub-CA / Intermediate zum Client mitsenden, neben deinem Zertifikat und nie das Root-Zertifikat.


    Beim Courier-Dienst musst du eventuell das ganze in einer Chain übertragen. Dies bedeutet, SubCert+ServerCert in einer Datei.


    Dies ist jedoch nur meine Mutmaßung, wie ich es aus dem Alltag mit Zertifikaten und anderen Diensten kenne, beide habe ich selber nicht mit Zertifikaten bisher versorgt.

    Hallo,
    ist zwar schon etwas älter, aber ich knüpfe mal hier an, vielleicht gibt es inzwischen eine Lösung, denn es liegt nicht am Thunderbird.
    Sobald man zum Beispiel wieder ein selbst signiertes eingebunden hat und Thunderbird neu gestartet hat, gehts wieder einwandfrei.


    Ich habe für Courier und Postfix jeweils das von Plesk erstellte Zertifikat von StartSSl genommen, wie es oft beschrieben wird, das heißt:


    Anforderung und Key erzeugen, dies bei StartSSL eingeben, das Zertifkat abholen und zusammen mit dem StartCom Root CA und dem Class 1 Intermediate Server CA zu einer Datei erstellt.
    Diese so entstandene Datei wurde dann einmal zu imapd.pem, zu pop3d.pem und zu postfix_default.pem


    Doch sobald diese verwendet wird, findet man im Log die oben genannten Fehlermeldungen und hat weder Zugriff auf das Imap noch kann man Mails versenden.


    Wieso läuft das nicht, auf meinem anderen Server nutze ich dovecot mit Postfix, habe es haargenauso gemacht und es läuft einwandfrei.
    Ich sitze seit gestern abend und fast die ganze Nacht daran und verzweifele hier bald.


    Vielleicht hat jemand noch eine Idee, über Hilfe wäre ich sehr dankbar.


    Grüße, Verena