Am 04.11.2011 10:10, schrieb Ralf Hildebrandt:
- de.postfix.org@virtualskill.dede.postfix.org@virtualskill.de:
Hallo Ralf, danke für die Antwort. Ich habe das jetzt einfach mal versucht. Mit "cat ...>> ..." das CAcert an das Zertifikatsfile angehangen. Thunderbird meckert nicht und auch das Senden und Empfangen mit gmail und einem anderen Postfix MTA funktioniert.
Mir ist aber wichtig den Mailserver Standard konform zu betreiben daher würde ich es gerne sicher wissen. Kann ich irgendwie testen ob meine Zertifikatskonfiguration funktioniert?
Mit s_client mal auf dem Port verbinden der wirft dann u.a. die Zertifikatskette aus:
openssl s_client -starttls smtp -CApath /etc/postfix/certs/ -connect localhost:25
bei uns: Certificate chain 0 s:/C=DE/O=Charite - Universitaetsmedizin Berlin/OU=Geschaeftsbereich Informationsmanagement/CN=postamt.charite.de i:/C=DE/O=Charite - Universitaetsmedizin Berlin/OU=IT-Zentrum/CN=Charite CA - G02/emailAddress=pki@charite.de 1 s:/C=DE/O=Charite - Universitaetsmedizin Berlin/OU=IT-Zentrum/CN=Charite CA - G02/emailAddress=pki@charite.de i:/C=DE/O=DFN-Verein/OU=DFN-PKI/CN=DFN-Verein PCA Global - G01 2 s:/C=DE/O=DFN-Verein/OU=DFN-PKI/CN=DFN-Verein PCA Global - G01 i:/C=DE/O=Deutsche Telekom AG/OU=T-TeleSec Trust Center/CN=Deutsche Telekom Root CA 2
Vielen Dank für deine Hilfe. Die Ausgabe sieht korrekt aus. Mir wird die Zertifikatskette (wie bei dir) und das Serverzertifikat ausgegeben. Man kann also allem Anschein nach alles in eine Datei packen (PrivateKey, Zertifikat und CA Zertifikat).
Grüße mjay