Hallo Markus,
postconf -n | egrep 'smtpd_tls.*file'
smtp_tls_cert_file = $smtpd_tls_cert_file smtp_tls_key_file = $smtpd_tls_key_file smtpd_tls_cert_file = /etc/letsencrypt/live/mail1.glasgasperlmair.at/fullchain.pem smtpd_tls_dh1024_param_file = /etc/postfix/dh_2048.pem smtpd_tls_dh512_param_file = /etc/postfix/dh_512.pem smtpd_tls_key_file = /etc/letsencrypt/live/mail1.glasgasperlmair.at/privkey.pem
Vielen Dank für deine sehr aufschlussreichen Informationen. :-)
By the way: Sollte ich auch noch ein dh_1024.pem und ein dh_4096.pm für PFS erstellen?
Vg, Andi
Am 26.10.2021 um 19:49 schrieb Markus Winkler:
Hallo noch mal Andi,
On 26.10.21 16:25, Andreas Wass - Glas Gasperlmair wrote:
Du kannst auch das abgelaufene Root-Zertifkat auf dem Server löschen. Das sollte reichen.
Auf meinem neuen Server dürfte es kein abgelaufenes Root-Zertifikat geben, da die neuen Zertifikate ja erst letzten Samstag erstellt wurden? Da gab es vorher noch keine Zertifikate.
Das ist Deinem Server ja mal herzlich egal. Ich meinte sowas wie
sed -i "s/^mozilla/DST_Root_CA_X3.crt/!mozilla/DST_Root_CA_X3.crt/g" /etc/ca-certificates.conf update-ca-certificates
...das könnt ich mal probieren.
das "schadet" zwar nicht, dürfte bei deinem Thema allerdings keinerlei Effekt haben. ;-)
Was zeigt denn ein:
postconf -n | egrep 'smtpd_tls.*file'
bei Dir?
Ich vermute, dass da u. a. etwas in der Art auftaucht:
smtpd_tls_cert_file = /etc/letsencrypt/live/mail1.glasgasperlmair.at/fullchain.pem
(smtpd_tls_chain_files ... könnte zusätzlich oder alternativ erscheinen, da bei neueren Postfix-Versionen das der bevorzugte Parameter ist)
Stimmt das? Wenn ja: In dem/den dort referenzierten File(s) findest Du die drei Certs, die Dein Postfix einem Client beim Verbindungsaufbau übergibt. Und eines von denen ist (ich wiederhole mich ;-)) das Root-Cert 'CN = ISRG Root X1', das vom nun nicht mehr gültigen 'DST Root CA X3' signiert wurde.
Das nur noch mal zum Hintergrund.
Du kannst zwar dieses Root-Cert aus dem File '.../fullchain.pem' (oder wo auch immer es bei Dir unterhalb von /etc/letsencrypt gespeichert ist) löschen. Aber auch das wird Dir bei irgendwelchen Uraltclients aus den schon in den früheren Mails genannten Gründen nichts bringen.
Viele Grüße Markus