SSL_accept error from 213-225-38-118.nat.highway.a1.net[213.225.38.118]: -1 - Nachtrag
Andreas Wass - Glas Gasperlmair
a.wass at glas-gasperlmair.at
Mi Okt 27 07:39:14 CEST 2021
Hallo Markus,
postconf -n | egrep 'smtpd_tls.*file'
smtp_tls_cert_file = $smtpd_tls_cert_file
smtp_tls_key_file = $smtpd_tls_key_file
smtpd_tls_cert_file =
/etc/letsencrypt/live/mail1.glasgasperlmair.at/fullchain.pem
smtpd_tls_dh1024_param_file = /etc/postfix/dh_2048.pem
smtpd_tls_dh512_param_file = /etc/postfix/dh_512.pem
smtpd_tls_key_file =
/etc/letsencrypt/live/mail1.glasgasperlmair.at/privkey.pem
Vielen Dank für deine sehr aufschlussreichen Informationen. :-)
By the way: Sollte ich auch noch ein dh_1024.pem und ein dh_4096.pm für
PFS erstellen?
Vg, Andi
Am 26.10.2021 um 19:49 schrieb Markus Winkler:
> Hallo noch mal Andi,
>
> On 26.10.21 16:25, Andreas Wass - Glas Gasperlmair wrote:
>>>>> Du kannst auch das abgelaufene Root-Zertifkat auf dem Server
>>>>> löschen. Das sollte reichen.
>>>> Auf meinem neuen Server dürfte es kein abgelaufenes Root-Zertifikat
>>>> geben, da die neuen Zertifikate ja erst letzten Samstag erstellt
>>>> wurden? Da gab es vorher noch keine Zertifikate.
>>>
>>> Das ist Deinem Server ja mal herzlich egal. Ich meinte sowas wie
>>>
>>> sed -i
>>> "s/^mozilla\/DST_Root_CA_X3\.crt/\!mozilla\/DST_Root_CA_X3\.crt/g"
>>> /etc/ca-certificates.conf
>>> update-ca-certificates
>> ...das könnt ich mal probieren.
>
> das "schadet" zwar nicht, dürfte bei deinem Thema allerdings keinerlei
> Effekt haben. ;-)
>
> Was zeigt denn ein:
>
> postconf -n | egrep 'smtpd_tls.*file'
>
> bei Dir?
>
> Ich vermute, dass da u. a. etwas in der Art auftaucht:
>
> smtpd_tls_cert_file =
> /etc/letsencrypt/live/mail1.glasgasperlmair.at/fullchain.pem
>
> (smtpd_tls_chain_files ... könnte zusätzlich oder alternativ
> erscheinen, da bei neueren Postfix-Versionen das der bevorzugte
> Parameter ist)
>
> Stimmt das? Wenn ja: In dem/den dort referenzierten File(s) findest Du
> die drei Certs, die Dein Postfix einem Client beim Verbindungsaufbau
> übergibt. Und eines von denen ist (ich wiederhole mich ;-)) das
> Root-Cert 'CN = ISRG Root X1', das vom nun nicht mehr gültigen 'DST
> Root CA X3' signiert wurde.
>
> Das nur noch mal zum Hintergrund.
>
> Du kannst zwar dieses Root-Cert aus dem File '.../fullchain.pem' (oder
> wo auch immer es bei Dir unterhalb von /etc/letsencrypt gespeichert
> ist) löschen. Aber auch das wird Dir bei irgendwelchen Uraltclients
> aus den schon in den früheren Mails genannten Gründen nichts bringen.
>
> Viele Grüße
> Markus
Mehr Informationen über die Mailingliste postfix-users