* Jochen Fahrner jf@fahrner.name:
Am 11.08.2013 22:40, schrieb Patrick Ben Koetter:
The $smtp_tls_CAfile contains the CA certificates of one or more trusted CAs. The file is opened (with root privileges) before Postfix enters the optional chroot jail and so need not be accessible from inside the chroot jail.
Probier es aus. Wenn es nicht stimmt, dann eröffne einen Bug-Report für LaMont Jones, den Debian Postfix Maintainer.
Hast Recht, er nimmt die Datei aus /etc/ssl/certs. Dann war mein Problem davor dass ich es mit CApath statt CAfile probiert hatte. Ich war
Ja, genau. Ich vermute, das der Autor des Blog-Eintrags auf den Du verwiesen hattest, dasselbe Problem hat/hatte.
eigentlich der Meinung dass er mit CApath die ganzen Einzel-PEM-Dateien aus dem Verzeichnis nimmt. Dem ist aber wohl nicht so. Mann ist das kompliziert! :-(
openssl geht davon aus, dass der Inhalt im Verzeichnis sich ändern kann und will deshalb live, über einen vorab gebildeten hash, nach certs suchen. Wenn Du alles in ein file packst, dann liest openssl das einmal ein. Änderungen im File übernimmt Postfix wenn der betroffene Prozess regelmäßig neu gestartet wird.
Wenn Du es jetzt auf Debian/Ubuntu - falls noch nicht geschehen - noch amtlich machen willst, fügst Du Postfix zur Gruppe ssl-cert hinzu:
# adduser postfix ssl-cert # postfix stop # postfix start # id postfix uid=116(postfix) gid=125(postfix) Gruppen=125(postfix),45(sasl),110(ssl-cert)
Mit den Gruppenrechten darf Postfix Debian-konform die certs und auch die keys (!) unterhalb /etc/ssl/ lesen:
# tree -ugp /etc/ssl/private/ /etc/ssl/private/ ├── [-rw------- root dovecot ] dovecot.pem ├── [-rw-r----- root ssl-cert] patrick.example.com.key └── [-rw-r----- root ssl-cert] ssl-cert-snakeoil.key
p@rick