RapidSSL Probleme mit Froxlor und Postfix

Tobse101 · 8. Juni 2015

Guten Tag,
ich habe Probleme mein RapidSSL Zertifikat in Postfix und einer Subdomain in Froxlor einzurichten.

Der TLS Part meiner Postfix main.cf

Code

# tls config
smtpd_use_tls = yes
smtp_tls_note_starttls_offer = yes
smtpd_tls_key_file = /mailssl/mail.key #private key
smtpd_tls_cert_file = /mailssl/mail.pem #cert
smtpd_tls_CAfile = /mailssl/ca.pem #https://knowledge.rapidssl.com/support/ssl-certificate-support/index?page=content&actp=CROSSLINK&id=SO26462
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom
tls_random_prng_update_period = 3600s

Alles anzeigen

Das Problem: (http://www.checktls.com/perl/TestReceiver.pl)

Code

[000.810] Cert NOT VALIDATED: unable to get local issuer certificate
[000.810] this may help: What Is An Intermediate Certificate
[000.810] So email is encrypted but the domain is not verified
[000.810] Cert Hostname VERIFIED (mail.xyz.com = mail.xyz.com)

Desweiteren möchte das in Froxlor auch nicht so recht.
Habe alles in den Settings der Subdomain eingetragen bekomme aber volgenden Output im Browser:

Code

Fehler: Gesicherte Verbindung fehlgeschlagen
Ein Fehler ist während einer Verbindung mit mail.xyz.com aufgetreten. SSL hat einen Eintrag erhalten, der die maximal erlaubte Länge überschritten hat. (Fehlercode: ssl_error_rx_record_too_long).
Die Website kann nicht angezeigt werden, da die Authentizität der erhaltenen Daten nicht verifiziert werden konnte.
Kontaktieren Sie bitte den Inhaber der Website, um ihn über dieses Problem zu informieren.

Bis jetzt habe ich noch nie mit Zertifikaten gearbeitet und würde mich über Hilfe sehr freuen.

Vielen Dank vorab.
Tobias

redhell · 8. Juni 2015

Fehlt da vllt. ein Zertifikat in der Kette?

Cert > Intermediate Cert > Root Cert

Dragon · 8. Juni 2015

Enthält die Datei /mailssl/mail.pem auch das Zwischenzertifikat und das Root-Zertifikat der CA? Siehe: Postfix Configuration Parameters

Tobse101 · 8. Juni 2015

Danke für die Antworten.
In meiner mail.pem befindet sich folgendes:

Code

-----BEGIN CERTIFICATE-----
MIIEqzCCA5OgAwIBAgIDBOJgMA0GCSqGSIb3DQEBCwU[...]
-----END CERTIFICATE-----

mehr nicht.
Ich werde mir mal deinen Link ansehen.
Nachtrag zum Link:
Ich verstehe leider nicht ganz.
Ich dachte in die .pem gehört das Zertifikat welches ich im CCP bekomme?

Tobias

KB19 · 8. Juni 2015

Zitat von Tobse101

Ich dachte in die .pem gehört das Zertifikat welches ich im CCP bekomme?

Und danach meistens zusätzlich auch das Zwischenzertifikat der CA, da die Kette ansonsten unvollständig ist, wenn der Client nur das Root Cert der CA kennt! (Wie bereits von meinen Vorpostern erwähnt und in Deinem ersten Beitrag in der Fehlermeldung ersichtlich…)

Siehe: RapidSSL - Knowledge Center - SSL Certificates Support

MfG Christian

Tobse101 · 8. Juni 2015

Hallo Christian,
danke für deine Antwort.

Ich denke ich habe dann grundlegend einen Fehler gemacht.
Das Zwischenzertifikat habe ich in die ca.pem

Nachtrag:
Ich habe nun meinen Postfix zum Laufen bekommen!
Hatte die ganze Zeit das falsche ca.pem ...
Nun nur noch die Subdomain und die courier.

Es bleibt spannend

Meine Subdomain SSL Einstellungen sehen in Froxlor wie folgt aus:
[Blockierte Grafik: http://www11.pic-upload.de/08.06.15/9ur58eslru6.png]
Sieht da jemand meinen Fehler?

Liebe Grüße
Tobias

KB19 · 8. Juni 2015

Was die Subdomain in Froxlor angeht: Da kann ich mangels Froxlor-Installation leider nur raten. Und als ich den Vorgänger SysCP noch verwendete, war SSL nie ein Thema

Was steht denn darüber im ErrorLog vom Webserver?
Ist mod_ssl (sofern Apache verwendet wird) überhaupt aktiviert?
Schon einmal nachgesehen, was Froxlor für eine vHost Config generiert?

MfG Christian

Tobse101 · 8. Juni 2015

Im Apache2 error.log finde ich folgende Meldung:

Code

[Mon Jun 08 18:29:58 2015] [error] [client 212.144.246.228] Invalid method in request \x16\x03\x01

Bezüglich SSL:

Code

root@xyz:/var/log/apache2# a2enmod ssl
Module ssl already enabled

Im vHost steht folgendes:

Code

# 21_froxlor_normal_vhost_mail.xyz.com.conf
# Created 08.06.2015 18:05
# Do NOT manually edit this file, all changes will be deleted after the next domain change at the panel.




# Domain ID: 19 - CustomerID: 4 - CustomerLogin: xyz
<VirtualHost IP1:80 IP2:80>
  ServerName mail.xyz.com
  ServerAlias *.mail.xyz.com
  ServerAdmin admin@xyz.com
  DocumentRoot "/var/www/roundcube/"
  Alias /webalizer "/var/customers/webs/xyz/webalizer"
  ErrorLog "/var/customers/logs/xyz-error.log"
  CustomLog "/var/customers/logs/xyz-access.log" combined
</VirtualHost>

Alles anzeigen

Was mir hier direkt ins Auge springt ist 2x der Port 80
Hier deshalb mal die IP Settings:
[Blockierte Grafik: http://www11.pic-upload.de/08.06.15/ol3iiny6v8vn.png]

Liebe Grüße
Tobias

Timon_78 · 8. Juni 2015

# 21_froxlor_normal_vhost_mail.programcore.com.conf
ServerName mail.xyz.com
ServerAlias *.mail.xyz.com

Wird die mail.xyz.com nicht in der Grundeinstellung vom ccp->dns schon für den mx record verwendet?

Tobse101 · 8. Juni 2015

Ja - jedoch ist der MX RECORD unabhängig von Port 80/443 oder bin ich da falsch informiert?

KB19 · 8. Juni 2015

Deine vorherige Config zeigt ja nur etwas von Port 80 (HTTP; unverschlüsselt), hat Froxlor nichts für Port 443 (HTTPS) erstellt?

Zitat von Tobse101

Ja - jedoch ist der MX RECORD unabhängig von Port 80/443 oder bin ich da falsch informiert?

Eher unabhängig vom A/AAAA Record, der dafür benutzt wird – sofern man die Mails nicht auf einen anderen Server leitet

MfG Christian

Tobse101 · 8. Juni 2015

Richtig, keine Einträge für 443 - genau das stimmt mich ratlos.
Alle Cronjobs laufen. Ich hatte eigentlich sonst nie Probleme.
Ein eigener vHost Eintrag via Froxlor wäre eine Idee - wäre ja dann aber auch wieder am Sinn von Froxlor vorbei.

Tobse101 · 9. Juni 2015

Moin!
Ich habe nun mal die Zertifikate bei der Subdomain raus genommen und in die IP gepackt.
Das sieht schonmal besser aus!

Code

# 21_froxlor_ssl_vhost_mail.xyz.com.conf
# Created 09.06.2015 15:45
# Do NOT manually edit this file, all changes will be deleted after the next domain change at the panel.




# Domain ID: 19 (SSL) - CustomerID: 4 - CustomerLogin: xyz
<VirtualHost 46.xxx.xxx.93:443>
  ServerName mail.xyz.com
  ServerAlias *.mail.xyz.com
  ServerAdmin xyz@xyz.com
  SSLEngine On
  SSLProtocol ALL -SSLv2 -SSLv3
  SSLHonorCipherOrder On
  SSLCipherSuite ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH
  SSLVerifyDepth 10
  SSLCertificateFile /mailssl/mail.pem
  SSLCertificateKeyFile /mailssl/mail.key
  SSLCACertificateFile /mailssl/ca.pem
  DocumentRoot "/var/www/roundcube/"
  Alias /webalizer "/var/customers/webs/xyz/webalizer"
  ErrorLog "/var/customers/logs/xyz-error.log"
  CustomLog "/var/customers/logs/xyz-access.log" combined
</VirtualHost>

Alles anzeigen

Jedoch liefert mir der Browser immer noch die selbe Meldung wie sonst auch:

Code

Ein Fehler ist während einer Verbindung mit mail.xyz.com aufgetreten. SSL hat einen Eintrag erhalten, der die maximal erlaubte Länge überschritten hat. (Fehlercode: ssl_error_rx_record_too_long)

Liebe Grüße
Tobias

Tags