[Postfix] Probleem met TLS certificaat - Serversoftware en clouddiensten

woensdag 26 juni 2013 21:40

Acties:

Anti Android

Topicstarter

Ik heb een VPS met Debian draaien. Op deze server draait Postfix met Spamassassin, SQLgrey en ClamAV. Deze doos ontvangt e-mails en stuurt ze nadat ze gescanned zijn op virussen (en spam) door naar hun eindbestemming.

Ik probeer het SSL certificaat op deze server te vervangen door een nieuw certificaat. Dit certificaat wordt geleverd door StartCom (http://www.startcom.org/). Het gaat om een Class 2 Organization Validation certificaat

Belangrijk is dat het oude certificaat ook een Class 2 certificaat is, maar dan slechts met Identity Validation.

Het probleem is dat Postfix dit nieuwe certificaat niet wenst te gebruiken.. Met het oude certificaat gaat alles prima. Zodra ik het nieuwe certificaat laat laden dan gebeurd dit bij een telnet sessie:

code:

220 <server> blablabla ESMTP Server
helo lol
250 <server>
starttls
454 4.7.0 TLS not available due to local problem

In mail.warn verschijnt het volgende:

code:

1	Jun 26 20:54:07 mailrelay postfix/smtpd[3781]: warning: No server certs available. TLS won't be enabled

Ook deze melding komt af en toe tevoorschijn

code:

1	Jun 26 18:56:57 mailrelay postfix/smtpd[2165]: warning: TLS library problem: 2165:error:140760FC:SSL routines:SSL23_GET_CLIENT_HELLO:unknown protocol:s23_srvr.c:578:

Relevante delen van main.cf

code:

# TLS parameters
smtpd_tls_cert=/etc/postfix/keys/samen.pem 
smtpd_tls_key=/etc/postfix/keys/server.key
smtpd_use_tls=yes
smtpd_tls_loglevel = 4
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
tls_random_source = dev:/dev/urandom

Het bestand van smtpd_tls_cert heet 'samen' omdat ik het intermediate certificaat er bij heb gezet. Zonder of met, het maakt voor Postfix niet uit..

Rechten op de certificaat bestanden:

code:

1 2	-rw-r--r-- 1 root root 5028 Jun 26 21:03 samen.pem -rw------- 1 root root 1675 Jun 26 21:05 server.key

Gegevens van de server:
Linux version 2.6.32-5-amd64 (Debian 2.6.32-48squeeze3), Postfix 2.7.1.

Ik kan dit certificaat probleemloos importeren op mijn Windows PC. Ook Filezilla server slikt met alle plezier de bestanden server.key en samen.pem om verbindingen te versleutelen..(rechtstreekt gekopieerd vanaf de linux vps).

Voordat ik Startcom om hulp gaan vragen, heeft iemand enig idee? Voor zover ik kan zien is er buiten de sleutels en het subject (het oude certificaat bevat mijn persoonlijke gevens, het nieuwe de gegevens van een bedrijf) geen verschil tussen de certificaten. Het oude certificaat bevat echter wel een aantal extra domeinnamen. Het nieuwe alleen die van de server zelf (hostname.domein.nl en domein.nl). Naar mijn mening zou dit niet belangrijk moeten zijn voor Postfix? En als dat al wel zo zou zijn, dan zou ik op zijn minst een duidelijkere melding verwachten

Help

En ik zie dat dit topic in NOS thuishoort, foutje..

PV 4915wp op oost, 2680 wp op west, 1900 wp op zuid. pvoutput - AUX 8 kW bi bloc

woensdag 26 juni 2013 21:49

Acties:

GlowMouse

server.key moet de unencrypted private key zijn

Kun je samen.pem hier plakken? Zijn de domeinen hetzelfde als bij het oude certificaat?

woensdag 26 juni 2013 21:51

Acties:

_JGC_

Rechten op je server.key? Kan Postfix dat ding wel lezen als ie 600 is?

woensdag 26 juni 2013 21:55

Acties:

Glashelder

Anti Android

Topicstarter

Server.key is zonder wachtwoord inderdaad.

Samen.pem:

code:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Bag Attributes
    localKeyID: 01 00 00 00
    friendlyName: StartCom PFX Certificate
subject=/description=LX85t5tC8nun697Q/C=NL/ST=North Holland/L=Aalsmeerderbrug/O=Verhoef Aluminium Scheepsbouwindustrie B.V./CN=mailgateway.homevpn.nl/emailAddress=webmaster@homevpn.nl
issuer=/C=IL/O=StartCom Ltd./OU=Secure Digital Certificate Signing/CN=StartCom Class 2 Primary Intermediate Server CA
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE----

De domeinen zijn niet hetzelfde nee. Het oude certificaat bevatte meer domeinnamen (enkele prive domeinnamen). De server is wel verantwoordelijk voor het ontvangen van mail van deze domeinnamen, maar hij identificeert zichzelf via een domein (homevpn.nl|) dat zich wel in het nieuwe certificaat bevindt.

_JGC_ schreef op woensdag 26 juni 2013 @ 21:51:
Rechten op je server.key? Kan Postfix dat ding wel lezen als ie 600 is?

Voor zover ik weet vereist Postfix dat alleen root de private key mag lezen. Postfix start als root en daarna schijnt het ding rechten op te geven.

Maar verbeter me vooral als ik het mis heb

(vandaar dit topic uiteraard

)

Ik zit me overigens nog een verschil te bedenken. Bij het oude certificaat is de private key (het CSR) gegenereerd door IIS. Bij het nieuwe certificaat is dit gedaan door het controle paneel van Startcom*.
*Ik weet dat dit het hele principe van de private en public key onderuit haalt omdat Startcom dan in theorie mijn private key heeft, maar deze server doet alleen prive zaken en is derhalve niet zo belangrijk. Bij een bedrijfsomgeving zou ik uiteraard altijd zelf een CSR genereren.

[ Voor 3% gewijzigd door Glashelder op 26-06-2013 22:01 ]

PV 4915wp op oost, 2680 wp op west, 1900 wp op zuid. pvoutput - AUX 8 kW bi bloc

woensdag 26 juni 2013 22:02

Acties:

DataGhost

iPL dev

En als je samen.pem weer eens uit elkaar haalt en smtpd_tls_CAfile gebruikt voor je intermediate?
Ik heb trouwens zelf root 400 op m'n key, dat zou moeten werken dus. Heb je geen andere meldingen in je log bij het restarten van je daemon trouwens?

[ Voor 40% gewijzigd door DataGhost op 26-06-2013 22:03 ]

woensdag 26 juni 2013 22:03

Acties:

Glashelder

Anti Android

Topicstarter

Zo had ik het eerst

Maakt geen verschil helaas.

Omdat dat wel mijn voorkeur heeft heb ik het wel net weer teruggedraaid. Ik heb ze nu weer gescheiden dus:

code:

1
2
3

smtpd_tls_cert=/etc/postfix/keys/cert.pem
smtpd_tls_key=/etc/postfix/keys/server.key
smtpd_tls_CAfile=/etc/postfix/keys/startcom.pem

code:

1	-rw-r--r-- 1 root root 2212 Jun 26 18:34 startcom.pem

[ Voor 76% gewijzigd door Glashelder op 26-06-2013 22:05 ]

PV 4915wp op oost, 2680 wp op west, 1900 wp op zuid. pvoutput - AUX 8 kW bi bloc

woensdag 26 juni 2013 22:14

Acties:

Bastien

Probleemeigenaar

Welke foutmeldingen geeft postfix bij het (opnieuw) starten? Als er een certificaatprobleem is moet ie dat dan ook al melden. O.a. iets als 'warning: cannot get certificate from file...' bijvoorbeeld.

Je privacy is voor het eerst geschonden bij de eerste echo. Daarna wordt het er de rest van je leven niet meer beter op.

woensdag 26 juni 2013 22:24

Acties:

Glashelder

Anti Android

Topicstarter

Ja dat zou ik dus ook verwachten. Toch blijft mail.err leeg. Hetzelfde geld voor mail.warn.. Af en toe verschijnt in mail.warn wel die melding met TLS library problem (zie de TS

).

Mail.log meldt het volgende:

code:

1 2	Jun 26 22:21:41 mailrelay postfix/master[4700]: terminating on signal 15 Jun 26 22:21:41 mailrelay postfix/master[4827]: daemon started -- version 2.7.1, configuration /etc/postfix

Zijn er logbestanden die ik mis? Op de console (dmesg) zie ik alleen meldingen van Shorewall (die al sinds de installatie actief is, dus die kan er eigenlijk ook niets mee te maken hebben lijkt mij).

[ Voor 8% gewijzigd door Glashelder op 26-06-2013 22:28 ]

PV 4915wp op oost, 2680 wp op west, 1900 wp op zuid. pvoutput - AUX 8 kW bi bloc

woensdag 26 juni 2013 22:30

Acties:

Compizfox

Bait for wenchmarks

Ik heb ook een StartSSL-certificaat werkend met Postfix (en Dovecot ook). Ik kan me nog herinneren dat ik twee certificaten moest samenvoegen voordat het werkte.

Dit is mijn TLS-config in Postfix:

code:

# TLS parameters
smtpd_use_tls=yes
smtpd_tls_cert_file = /etc/ssl/certs/tuxplace.nl.pem
smtpd_tls_key_file = /etc/ssl/private/tuxplace.nl.key 
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

Ik maak dus geen gebruik van smtpd_tls_CAfile.

Misschien heb je hier iets aan: http://bergfloh.wordpress...tion-with-startssl-certs/
Dit is voor Dovecot maar precies hetzelfde geldt voor Postfix dacht ik.

[ Voor 16% gewijzigd door Compizfox op 26-06-2013 22:31 ]

Gewoon een heel grote verzameling snoertjes

woensdag 26 juni 2013 22:37

Acties:

GlowMouse

Ik weet niet welke dingen er in samen.pem staan, maar http://www.startssl.com/certs/sub.class2.server.ca.pem ontbreekt en die verwacht ik wel.

donderdag 27 juni 2013 09:30

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Glashelder schreef op woensdag 26 juni 2013 @ 21:40:
Help
En ik zie dat dit topic in NOS thuishoort, foutje..

Ik laat hem nog even in "Serversoftware en Windows Servers" staan. Het lijkt voorlopig nog even op een postfix dingetje en da's serversoftware. NOS is meer een forum voor OS-gerelateerde zaken...

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

donderdag 27 juni 2013 13:15

Acties:

Glashelder

Anti Android

Topicstarter

Ow..dat was wel de reden dat ik het hier geplaatst had maar om eerlijk te zijn ging ik daarna twijfelen..

Sorry voor de op het eerste gezicht nutteloze kick maar ik dacht even de oorzaak gevonden te hebben. Maar helaas

[ Voor 121% gewijzigd door Glashelder op 27-06-2013 13:18 ]

PV 4915wp op oost, 2680 wp op west, 1900 wp op zuid. pvoutput - AUX 8 kW bi bloc

donderdag 27 juni 2013 14:33

Acties:

Equator

Crew Council

#whisky #barista

Samen.pem bevat in ieder geval geen niet het certificaat wat je wilt gebruiken. Slechts de signingCA of IntermediateCA en het Root CA certificaat. Daar hoort nog het server certificaat bij.
NIet te verwarren met server.key wat alleen de private key is (onversleuteld)

[ Voor 3% gewijzigd door Equator op 27-06-2013 14:39 ]

donderdag 27 juni 2013 14:40

Acties:

Osiris

[b][green]osiris@desktop [/][blue]tmp $ [/][/]openssl x509 -text -in samen.pem 
unable to load certificate
139635320452776:error:0906D066:PEM routines:PEM_read_bio:bad end line:pem_lib.c:795:
[b][green]osiris@desktop [/][blue]tmp $ [/][/]

En daar had ik die intermediate maar ff uitgehaald, want anders pakte 'ie alleen die.. Ziet er niet goed uit?

donderdag 27 juni 2013 14:41

Acties:

Osiris

Ah, hij werkt.

Je bent een '-' vergeten helemaal op het eind.

Resultaat mét netjes 5 (!) streepjes na "END CERTIFICATE":

[b][green]gerjan@desktop [/][blue]tmp $ [/][/]openssl x509 -text -in samen.pem 
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 96647 (0x17987)
    Signature Algorithm: sha1WithRSAEncryption
        Issuer: C=IL, O=StartCom Ltd., OU=Secure Digital Certificate Signing, CN=StartCom Class 2 Primary Intermediate Server CA
        Validity
            Not Before: Jun 26 06:38:20 2013 GMT
            Not After : Jun 27 06:21:24 2015 GMT
        Subject: description=LX85t5tC8nun697Q, C=NL, ST=North Holland, L=Aalsmeerderbrug, O=Verhoef Aluminium Scheepsbouwindustrie B.V., CN=mailgateway.homevpn.nl/emailAddress=webmaster@homevpn.nl
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:bd:90:95:a2:15:79:2d:50:b0:b1:bf:ac:e2:20:
                    98:f1:94:e0:bd:be:10:99:ca:56:f2:6a:77:a1:df:
                    e5:60:09:c5:60:de:72:70:1e:aa:8b:66:5d:0f:40:
                    87:10:2f:89:24:fe:c1:fd:86:47:29:35:91:0c:b1:
                    36:0b:f1:2e:99:18:7e:0a:4e:51:68:0a:1c:cf:99:
                    16:fa:5a:f9:c6:82:7e:3f:e0:88:54:ed:b1:29:43:
                    c4:0d:53:9e:dd:53:e0:25:04:39:b8:42:e6:42:e6:
                    45:6e:cb:48:16:df:ec:5d:ad:c8:e0:0d:81:fc:db:
                    c4:d6:58:cc:2f:08:60:6f:7b:ca:ca:ba:1a:37:19:
                    a2:60:fc:74:19:85:98:d3:44:4b:fe:31:d4:f0:50:
                    07:9c:20:da:2d:7c:bd:e0:01:9f:a1:2c:ae:11:a0:
                    82:db:2b:97:a0:27:83:ee:5a:71:f3:34:cb:35:6a:
                    30:7f:1f:58:9f:74:c8:e5:2b:f7:c1:e4:7a:8f:a0:
                    bc:01:da:6f:a0:eb:0c:2b:12:62:73:af:6e:c2:12:
                    bc:f6:3d:a1:1a:a4:ce:ef:33:1a:ff:b7:83:bb:cd:
                    7e:fb:6a:1f:88:ec:34:27:a0:a1:44:44:f8:94:29:
                    83:26:88:33:1d:8f:42:bb:d0:5e:aa:b0:18:61:ad:
                    a4:8d
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Basic Constraints: 
                CA:FALSE
            X509v3 Key Usage: 
                Digital Signature, Key Encipherment, Key Agreement
            X509v3 Extended Key Usage: 
                TLS Web Client Authentication, TLS Web Server Authentication
            X509v3 Subject Key Identifier: 
                2C:5E:52:1B:20:CC:0B:61:E0:35:10:34:DA:F2:6D:30:13:9F:FA:6E
            X509v3 Authority Key Identifier: 
                keyid:11:DB:23:45:FD:54:CC:6A:71:6F:84:8A:03:D7:BE:F7:01:2F:26:86

            X509v3 Subject Alternative Name: 
                DNS:mailgateway.homevpn.nl, DNS:homevpn.nl
            X509v3 Certificate Policies: 
                Policy: 2.23.140.1.2.2
                Policy: 1.3.6.1.4.1.23223.1.2.3
                  CPS: http://www.startssl.com/policy.pdf
                  User Notice:
                    Organization: StartCom Certification Authority
                    Number: 1
                    Explicit Text: This certificate was issued according to the Class 2 Validation requirements of the StartCom CA policy, reliance only for the intended purpose in compliance of the relying party obligations.

            X509v3 CRL Distribution Points: 

                Full Name:
                  URI:http://crl.startssl.com/crt2-crl.crl

            Authority Information Access: 
                OCSP - URI:http://ocsp.startssl.com/sub/class2/server/ca
                CA Issuers - URI:http://aia.startssl.com/certs/sub.class2.server.ca.crt

            X509v3 Issuer Alternative Name: 
                URI:http://www.startssl.com/
    Signature Algorithm: sha1WithRSAEncryption
         8c:b1:07:c7:33:4c:59:2d:fe:ca:f8:85:8a:d3:d5:a3:9f:0d:
         df:37:67:af:0f:38:81:b2:99:1b:50:36:61:4f:48:8a:76:1e:
         50:f5:a6:a6:12:75:5e:80:e5:fb:78:a0:fa:b9:01:39:2d:0a:
         70:b0:a4:bc:3d:4a:6d:17:48:1e:e5:b8:75:12:b5:58:8d:97:
         64:bb:42:63:35:c2:a2:75:ce:1e:ca:0b:3d:dc:97:ef:35:55:
         96:7c:33:dc:47:4f:53:55:cc:bf:79:af:15:06:09:61:33:ce:
         61:85:05:7e:f6:b6:1e:55:1c:7d:f5:6a:8b:04:60:d1:cc:af:
         ea:8e:f9:f2:ec:70:a6:f0:cc:5b:b5:46:c7:ba:ce:dd:d0:24:
         16:70:11:56:d8:96:99:b0:fe:1f:a3:f1:f6:12:6a:38:84:a6:
         e0:20:0c:82:61:6e:bc:8f:28:8f:85:dc:20:91:ba:fc:7e:3d:
         18:4f:0c:a4:96:cb:e2:30:cb:05:02:46:4b:ed:10:19:a3:51:
         38:c3:0a:4b:cd:26:e5:96:2d:89:ce:46:80:79:50:af:0f:4e:
         95:99:e8:d1:90:c3:13:f4:88:7a:84:9b:c9:7a:c3:4d:ea:3b:
         a9:42:7c:58:25:7c:16:b3:f1:fc:9e:16:6b:cd:2b:d0:4b:29:
         1e:f3:d0:e3
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
[b][green]gerjan@desktop [/][blue]tmp $ [/][/]

[ Voor 98% gewijzigd door Osiris op 27-06-2013 14:43 ]

donderdag 27 juni 2013 14:42

Acties:

Equator

Crew Council

#whisky #barista

Ik heb de text gewoon even geplakt in notepad en opgeslagen als een .cer bestand. Windows kan hem lezen en ziet zonder problemen twee certificaten. De informatie tussen beide certificaten lijkt daar niet te horen.

@Topicstarter: Heb je niet nog een

code:

1
2
3

-----BEGIN CERTIFICATE-----
....
-----END CERTIFICATE-----

Voor je specifieke server certificate?

Edit:
Wat Osiris heeft gedaan lijkt er meer op

[ Voor 33% gewijzigd door Equator op 27-06-2013 14:48 ]

donderdag 27 juni 2013 15:04

Acties:

Osiris

Mócht het inderdaad dat ene streepje zijn, dan ben ik wel enigszins ontevreden over de debugging-skillz van de TS. Heb namelijk zojuist eventjes een streepje bij m'n eigen certificaat (ook Postfix) weggehaald en dan zie ik in m'n mail.log:

[b][red]server [/][blue]~ # [/][/]tail /var/log/mail.log
Jun 27 14:58:21 server postfix/postfix-script[30925]: refreshing the Postfix mail system
Jun 27 14:58:21 server postfix/master[24232]: reload -- version 2.10.0, configuration /etc/postfix
Jun 27 14:58:30 server clamd[14071]: SelfCheck: Database status OK.
Jun 27 14:58:46 server postfix/smtpd[30933]: warning: cannot get RSA certificate from file /etc/ssl/mycerts/blaat.pem: disabling TLS support
Jun 27 14:58:46 server postfix/smtpd[30933]: warning: TLS library problem: 30933:error:0906D066:PEM routines:PEM_read_bio:bad end line:pem_lib.c:795:
Jun 27 14:58:46 server postfix/smtpd[30933]: warning: TLS library problem: 30933:error:140DC009:SSL routines:SSL_CTX_use_certificate_chain_file:PEM lib:ssl_rsa.c:729:
Jun 27 14:58:46 server postfix/smtpd[30933]: connect from x[x.x.x.x]
Jun 27 14:58:46 server postfix/smtpd[30933]: lost connection after UNKNOWN from x[x.x.x.x]
Jun 27 14:58:46 server postfix/smtpd[30933]: disconnect from x[x.x.x.x]
[b][red]server [/][blue]~ # [/][/]

En 'k zie daar toch echt "bad end line" in de foutmelding staan.

donderdag 27 juni 2013 17:00

Acties:

Glashelder

Anti Android

Topicstarter

Ik ben bang dat dat een fout is geweest bij het kopiëren naar dit forum, sorry

Ik heb het inmiddels werkend en het is iets onwijs doms

code:

1 2	smtpd_tls_cert=/etc/postfix/keys/samen.pem smtpd_tls_key=/etc/postfix/keys/server.key

moet

code:

1 2	smtpd_tls_cert_file=/etc/postfix/keys/samen.pem smtpd_tls_key_file=/etc/postfix/keys/server.key

Zijn..

Beetje jammer alleen dat Postfix dan niet in een logbestand wegschrijft dat hij onbekende elementen in zijn configuratiebestand heeft aangetroffen..@Osiris: zijn dat soort opmerkingen nou echt nodig? Ik heb toch duidelijk aangegeven wat er in mijn log verscheen

Op die andere melding na dan. Die meldingen die jij in je log ziet waren mij ook zeker opgevallen.

To be fair: ik heb ook alle bestanden weggegooid en opnieuw een PFX bestand aan laten maken door Windows, maar zonder de intermediates. Hierna kwam ik achter de fout in main.cf

In de reactie van Compizfox staat het ook zo

Ik haal maar troost uit het feit dat het hier ook niemand is opgevallen