Vraag

dinsdag 23 april 2019 15:58

Acties:
  • 0 Henk 'm!
  • wessel1512
  • Registratie: Februari 2015
  • Laatst online: 09-02 22:23

wessel1512

Topicstarter
Mijn vraag
hoe moet je de ssl key en cert voorbereiden

Relevante software en hardware die ik gebruik
postfix
dovecot
postfixadmin
mariadb
ssl cert provider www.xolphin.nl

Wat ik al gevonden of geprobeerd heb
ik heb deze handleiding https://www.sslcertificat...-_Installatie_certificaat gebruik maar ik weet niet hoe ik de pem cert en key moet generen

Alle reacties

dinsdag 23 april 2019 16:04

Acties:
  • 0 Henk 'm!
  • DJMaze
  • Registratie: Juni 2002
  • Niet online

DJMaze

je genereert dingen met bijvoorbeeld openssl.

Je kan ook gewoon Let's Encrypt handmatig gebruiken als je geen httpd hebt.

[ Voor 46% gewijzigd door DJMaze op 23-04-2019 16:06 ]

Maak je niet druk, dat doet de compressor maar

dinsdag 23 april 2019 16:30

Acties:
  • 0 Henk 'm!
  • wessel1512
  • Registratie: Februari 2015
  • Laatst online: 09-02 22:23

wessel1512

Topicstarter
ik gebuik heer geen Let's Encrypt maar een Signed Certificate van en ssl cert provider

dinsdag 23 april 2019 16:37

Acties:
  • +1 Henk 'm!
  • Hero of Time
  • Registratie: Oktober 2004
  • Laatst online: 10-09 22:48

Hero of Time

Moderator LNX

There is only one Legend

Had je al eens naar bijvoorbeeld https://www.sslshopper.co...mon-openssl-commands.html gekeken? Als je het formaat wat je aangeleverd krijgt moet veranderen naar een ander formaat dat je software accepteert, zal je alsnog met het openssl commando aan de slag moeten gaan.

Het is wel iets wat je kinderlijk eenvoudig kan vinden met Google. Heb je echt verder gezocht dan de eerste hit die je noemt? Als het al een zoekresultaat is, ipv een gelinkte FAQ van je leverancier.

Commandline FTW | Tweakt met mate

dinsdag 23 april 2019 21:57

Acties:
  • 0 Henk 'm!
  • igmar
  • Registratie: April 2000
  • Laatst online: 03-09 22:58

igmar

ISO20022

Het staat in hun FAQ : https://www.sslcertificat...enereren_met_externe_tool
Waarbij je uiteindelijk uitkomt op https://www.sslcertificat...SL/OpenSSL_-_Aanmaken_CSR

dinsdag 23 april 2019 23:44

Acties:
  • 0 Henk 'm!
  • wessel1512
  • Registratie: Februari 2015
  • Laatst online: 09-02 22:23

wessel1512

Topicstarter
mij gaat het meer hoe ik de smtpd_tls_key_file = /etc/postfix/mail.key.pem kan maken
ik heb heer namelijk geen goede resocse voor gevonden

voor de duidelijkheid
ik wil een .key file omzetten in een .pem file

bedankt alvast voor de moeten

woensdag 24 april 2019 00:12

Acties:
  • 0 Henk 'm!
  • _JGC_
  • Registratie: Juli 2000
  • Nu online

_JGC_

Je hoeft niks om te zetten, postfix verwacht daar het .key bestand die je hebt gemaakt bij het genereren van je CSR.

woensdag 24 april 2019 06:40

Acties:
  • +2 Henk 'm!
  • Kees
  • Registratie: Juni 1999
  • Laatst online: 18:11

Kees

Serveradmin / BOFH / DoC
De .key heb je al. De .pem is gewoon de ca-bundle + certificaat in 1 file (dus cat certificaat.crt ca-bundle.crt > certificaat.pem)

"Een serveradmin, voluit een serveradministrator, is dan weer een slavenbeheerder oftewel een slavendrijver" - Rataplan

woensdag 24 april 2019 10:39

Acties:
  • 0 Henk 'm!
  • wessel1512
  • Registratie: Februari 2015
  • Laatst online: 09-02 22:23

wessel1512

Topicstarter
Kees schreef op woensdag 24 april 2019 @ 06:40:
De .key heb je al. De .pem is gewoon de ca-bundle + certificaat in 1 file (dus cat certificaat.crt ca-bundle.crt > certificaat.pem)
zijn daar dezen regels niet voor
smtpd_tls_cert_file = /etc/postfix/mail.crt.pem # het certificaat
smtpd_tls_CAfile = /etc/postfix/ca.crt.pem # Het root en intermediate

het kan zijn dat ik het fout heb maar volgens mij moet je de
smtpd_tls_key_file = /etc/postfix/mail.key.pem # de private key
anders maken

woensdag 24 april 2019 10:44

Acties:
  • 0 Henk 'm!
  • DiedX
  • Registratie: December 2000
  • Laatst online: 16:56

DiedX

Genereer eerst de key. Maak de csr. Laat de csr ondertekenen.

Maak een veiligheidscopie van key en cert, en ga daarna spelen.

@Kees heeft gelijk, maar ga vooral aan de slag. Daarna zal je zien wat Kees bedoeld ;)

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

woensdag 24 april 2019 10:48

Acties:
  • 0 Henk 'm!
  • Kees
  • Registratie: Juni 1999
  • Laatst online: 18:11

Kees

Serveradmin / BOFH / DoC
wessel1512 schreef op woensdag 24 april 2019 @ 10:39:
[...]


zijn daar dezen regels niet voor
smtpd_tls_cert_file = /etc/postfix/mail.crt.pem # het certificaat
smtpd_tls_CAfile = /etc/postfix/ca.crt.pem # Het root en intermediate

het kan zijn dat ik het fout heb maar volgens mij moet je de
smtpd_tls_key_file = /etc/postfix/mail.key.pem # de private key
anders maken
Klopt, dat kan ook. Zo te lezen heb je het certificaat al dan is het gewoon een invul oefening.

De .key/.crt/ .pem zijn exact hetzelfde normaal gesproken, gewoon platte tekst. Zelf gebruik ik gewoon iets als dit:
code:
1
2
3

smtpd_tls_cert_file = /etc/ssl/tweakers/certificate.crt
smtpd_tls_key_file = /etc/ssl/tweakers/private.key
smtpd_tls_CAfile = /etc/ssl/tweakers/ca.crt

En dat zijn dan gewoon platte tekst bestanden zoals je die van bijvoorbeeld letsencrypt krijgt.

[ Voor 19% gewijzigd door Kees op 24-04-2019 10:50 ]

"Een serveradmin, voluit een serveradministrator, is dan weer een slavenbeheerder oftewel een slavendrijver" - Rataplan

woensdag 24 april 2019 10:53

Acties:
  • 0 Henk 'm!
  • wessel1512
  • Registratie: Februari 2015
  • Laatst online: 09-02 22:23

wessel1512

Topicstarter
aa dankje ik dacht dat ik ze om moesten zetten naar .pem om ze te laten werken

woensdag 24 april 2019 11:31

Acties:
  • 0 Henk 'm!
  • wessel1512
  • Registratie: Februari 2015
  • Laatst online: 09-02 22:23

wessel1512

Topicstarter
uum het ziet er niet naar uit dat het werk

Apr 24 11:47:04 mail-server postfix/smtps/smtpd[23142]: cannot load Certification Authority data, CAfile="/etc/ssl/certs/ca.crt # Het root en intermediate": disabling TLS support
Apr 24 11:47:04 mail-server postfix/smtps/smtpd[23142]: warning: TLS library problem: error:02001002:system library:fopen:No such file or directory:../crypto/bio/bss_file.c:74:fopen('/etc/ssl/certs/ca.crt # Het root en intermediate','r'):
Apr 24 11:47:04 mail-server postfix/smtps/smtpd[23142]: warning: TLS library problem: error:2006D080:BIO routines:BIO_new_file:no such file:../crypto/bio/bss_file.c:81:
Apr 24 11:47:04 mail-server postfix/smtps/smtpd[23142]: warning: TLS library problem: error:0B084002:x509 certificate routines:X509_load_cert_crl_file:system lib:../crypto/x509/by_file.c:199:
Apr 24 11:47:04 mail-server postfix/smtps/smtpd[23142]: connect from unknown[192.168.2.209]
Apr 24 11:47:04 mail-server postfix/smtps/smtpd[23142]: warning: Wrapper-mode request dropped from unknown[192.168.2.209] for service smtp. TLS context initialization failed. For details see earlier warnings in your logs.
Apr 24 11:47:04 mail-server postfix/smtps/smtpd[23142]: disconnect from unknown[192.168.2.209] commands=0/0
Apr 24 11:47:04 mail-server postfix/smtps/smtpd[23142]: connect from unknown[192.168.2.209]
Apr 24 11:47:04 mail-server postfix/smtps/smtpd[23142]: warning: Wrapper-mode request dropped from unknown[192.168.2.209] for service smtp. TLS context initialization failed. For details see earlier warnings in your logs.
Apr 24 11:47:04 mail-server postfix/smtps/smtpd[23142]: disconnect from unknown[192.168.2.209] commands=0/0

[ Voor 27% gewijzigd door wessel1512 op 24-04-2019 11:49 ]

woensdag 24 april 2019 11:51

Acties:
  • +1 Henk 'm!
  • DAzN
  • Registratie: April 2000
  • Niet online

DAzN

code:
1

Apr 24 11:28:53 mail-server postfix/smtps/smtpd[22660]: warning: TLS library problem: error:02001002:system library:fopen:No such file or directory:../crypto/bio/bss_file.c:74:fopen('/etc/ssl/certs/ca.crt.pem # Het root en intermediate','r'):


haal die # Het root en intermediate en die andere # comment eens weg uit je configuratie-bestand.

woensdag 24 april 2019 11:57

Acties:
  • 0 Henk 'm!
  • wessel1512
  • Registratie: Februari 2015
  • Laatst online: 09-02 22:23

wessel1512

Topicstarter
DAzN schreef op woensdag 24 april 2019 @ 11:51:
code:
1

Apr 24 11:28:53 mail-server postfix/smtps/smtpd[22660]: warning: TLS library problem: error:02001002:system library:fopen:No such file or directory:../crypto/bio/bss_file.c:74:fopen('/etc/ssl/certs/ca.crt.pem # Het root en intermediate','r'):


haal die # Het root en intermediate en die andere # comment eens weg uit je configuratie-bestand.
dat klopt heb ik ook ge fixed
nu krijg ik de error
code:
1

Apr 24 11:47:04 mail-server postfix/smtps/smtpd[23142]: cannot load Certification Authority data, CAfile="/etc/ssl/certs/ca.crt # Het root en intermediate": disabling TLS support

woensdag 24 april 2019 11:59

Acties:
  • 0 Henk 'm!
  • DAzN
  • Registratie: April 2000
  • Niet online

DAzN

Loop je /etc/postfix/main.cf nog eens door. Die slikt geen #-tekens halverwege de regel.

woensdag 24 april 2019 12:01

Acties:
  • 0 Henk 'm!
  • Kees
  • Registratie: Juni 1999
  • Laatst online: 18:11

Kees

Serveradmin / BOFH / DoC
Je mist een "

"Een serveradmin, voluit een serveradministrator, is dan weer een slavenbeheerder oftewel een slavendrijver" - Rataplan

woensdag 24 april 2019 12:01

Acties:
  • 0 Henk 'm!
  • wessel1512
  • Registratie: Februari 2015
  • Laatst online: 09-02 22:23

wessel1512

Topicstarter
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70

# See /usr/share/postfix/main.cf.dist for a commented, more complete version


# Debian specific:  Specifying a file name will cause the first
# line of that file to be used as the name.  The Debian default
# is /etc/mailname.
#myorigin = /etc/mailname

smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
biff = no

# appending .domain is the MUA's job.
append_dot_mydomain = no

# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h

readme_directory = no

# See http://www.postfix.org/COMPATIBILITY_README.html -- default to 2 on
# fresh installs.
compatibility_level = 2

# TLS parameters
smtpd_tls_cert_file=/etc/ssl/private/cert.crt
smtpd_tls_key_file=/etc/ssl/private/bogers.solutions.key
smtpd_tls_CAfile = /etc/ssl/certs/ca.crt  # Het root en intermediate 
smtpd_use_tls=yes
smtpd_tls_security_level = may # Maakt STARTTLS verkeer mogelijk, maar niet verplicht.
smtpd_tls_mandatory_ciphers = high # Maak gebruik van moderne ciphersuites
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

# See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for
# information on enabling SSL in the smtp client.

smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination
myhostname = mail-server
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
mydestination = $myhostname, mail.bogers.solutions, mail-server, localhost.localdomain, localhost
relayhost = 
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
inet_protocols = all
virtual_mailbox_domains = mysql:/etc/postfix/sql/mysql_virtual_domains_maps.cf
virtual_mailbox_maps = mysql:/etc/postfix/sql/mysql_virtual_mailbox_maps.cf
virtual_alias_maps = mysql:/etc/postfix/sql/mysql_virtual_alias_maps.cf
virtual_transport = dovecot
dovecot_destination_recipient_limit = 1

# Allow authenticated users to send email, and use Dovecot to authenticate them. Tells Postfix to use Dovecot for authentication
smtpd_sasl_type = dovecot
## Path to the Postfix auth socket
smtpd_sasl_path = private/auth
## Tells Postfix to let people send email if they've authenticated to the server.
## Otherwise they can only send if they're logged in (SSH)
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
smtpd_sasl_local_domain = $myhostname
# Enable authentication only for those with a TLS connection.
smtpd_tls_auth_only = no
# Tells Postfix who can send email: SASL-authenticated users connecting from a network specified in 'mynetworks'
smtpd_recipient_restrictions = permit_mynetworks permit_sasl_authenticated reject_unauth_destination
smtp_tls_loglevel = 1
smtpd_tls_loglevel = 1

woensdag 24 april 2019 12:04

Acties:
  • 0 Henk 'm!
  • wessel1512
  • Registratie: Februari 2015
  • Laatst online: 09-02 22:23

wessel1512

Topicstarter
Kees schreef op woensdag 24 april 2019 @ 12:01:
Je mist een "
op welke line

woensdag 24 april 2019 12:07

Acties:
  • 0 Henk 'm!
  • pica
  • Registratie: Juni 2000
  • Laatst online: 10-09 17:11

pica

wessel1512 schreef op woensdag 24 april 2019 @ 12:04:
[...]

op welke line
Ik denk dat Kees reageerde op de foutmelding die je doorgaf:
Apr 24 11:47:04 mail-server postfix/smtps/smtpd[23142]: cannot load Certification Authority data, CAfile="/etc/ssl/certs/ca.crt # Het root en intermediate": disabling TLS support
Hier lijkt het net of er achter ca.crt nog een " moet komen.
In de config zelf staat het wat anders :)


Wat ik wel zie is wat @DAzN zegt, je hebt comments aan het einde van de configregels, probeer die eens te verwijderen:
smtpd_tls_CAfile = /etc/ssl/certs/ca.crt # Het root en intermediate
smtpd_tls_security_level = may # Maakt STARTTLS verkeer mogelijk, maar niet verplicht.
smtpd_tls_mandatory_ciphers = high # Maak gebruik van moderne ciphersuites

wordt dus

smtpd_tls_CAfile = /etc/ssl/certs/ca.crt
smtpd_tls_security_level = may
smtpd_tls_mandatory_ciphers = high
DAzN schreef op woensdag 24 april 2019 @ 11:59:
Loop je /etc/postfix/main.cf nog eens door. Die slikt geen #-tekens halverwege de regel.

[ Voor 23% gewijzigd door pica op 24-04-2019 12:12 ]

Steam

woensdag 24 april 2019 12:17

Acties:
  • 0 Henk 'm!
  • wessel1512
  • Registratie: Februari 2015
  • Laatst online: 09-02 22:23

wessel1512

Topicstarter
dit is nu de error

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14

Apr 24 12:15:35 mail-server dovecot: imap-login: Aborted login (no auth attempts in 0 secs): user=<>, rip=192.168.2.209, lip=10.10.50.7, session=<CTmD+0OHYI3AqALR>
Apr 24 12:15:35 mail-server dovecot: imap-login: Aborted login (no auth attempts in 0 secs): user=<>, rip=192.168.2.209, lip=10.10.50.7, session=<1TmD+0OHYo3AqALR>
Apr 24 12:15:35 mail-server postfix/smtps/smtpd[23640]: warning: cannot get RSA certificate from file "/etc/ssl/private/cert.crt": disabling TLS support
Apr 24 12:15:35 mail-server postfix/smtps/smtpd[23640]: warning: TLS library problem: error:0906D06C:PEM routines:PEM_read_bio:no start line:../crypto/pem/pem_lib.c:691:Expecting: TRUSTED CERTIFICATE:
Apr 24 12:15:35 mail-server postfix/smtps/smtpd[23640]: warning: TLS library problem: error:140DC009:SSL routines:use_certificate_chain_file:PEM lib:../ssl/ssl_rsa.c:616:
Apr 24 12:15:35 mail-server postfix/smtps/smtpd[23640]: connect from unknown[192.168.2.209]
Apr 24 12:15:35 mail-server postfix/smtps/smtpd[23640]: warning: Wrapper-mode request dropped from unknown[192.168.2.209] for service smtp. TLS context initialization failed. For details see earlier warnings in your logs.
Apr 24 12:15:35 mail-server postfix/smtps/smtpd[23640]: disconnect from unknown[192.168.2.209] commands=0/0
Apr 24 12:15:35 mail-server postfix/smtps/smtpd[23640]: connect from unknown[192.168.2.209]
Apr 24 12:15:35 mail-server postfix/smtps/smtpd[23640]: warning: Wrapper-mode request dropped from unknown[192.168.2.209] for service smtp. TLS context initialization failed. For details see earlier warnings in your logs.
Apr 24 12:15:35 mail-server postfix/smtps/smtpd[23640]: disconnect from unknown[192.168.2.209] commands=0/0
Apr 24 12:15:35 mail-server postfix/smtps/smtpd[23645]: warning: cannot get RSA certificate from file "/etc/ssl/private/cert.crt": disabling TLS support
Apr 24 12:15:35 mail-server postfix/smtps/smtpd[23645]: warning: TLS library problem: error:0906D06C:PEM routines:PEM_read_bio:no start line:../crypto/pem/pem_lib.c:691:Expecting: TRUSTED CERTIFICATE:
Apr 24 12:15:35 mail-server postfix/smtps/smtpd[23645]: warning: TLS library problem: error:140DC009:SSL routines:use_certificate_chain_file:PEM lib:../ssl/ssl_rsa.c:616:


ik test dit trouwens met thunderburd als client

woensdag 24 april 2019 12:20

Acties:
  • 0 Henk 'm!
  • _JGC_
  • Registratie: Juli 2000
  • Nu online

_JGC_

@wessel1512 gpasswd -a postfix ssl-cert

Vervolgens postfix herstarten. Postfix heeft geen rechten op de sleutel.

woensdag 24 april 2019 12:22

Acties:
  • 0 Henk 'm!
  • wessel1512
  • Registratie: Februari 2015
  • Laatst online: 09-02 22:23

wessel1512

Topicstarter
de service wordt iedere keer geherstart via command service postfix restart

woensdag 24 april 2019 12:24

Acties:
  • +1 Henk 'm!
  • Donaldinho
  • Registratie: November 2002
  • Laatst online: 15:27

Donaldinho

rning: cannot get RSA certificate from file "/etc/ssl/private/cert.crt": disabling TLS support

idd leesrechten op die file - of inhoud - heb je de inhoud van je .crt file al eens geverifieerd (met openssl bijvoorbeeld)?

openssl x509 -in certificate.crt -text -noout

Heb je trouwens al gegoogled op de foutmelding? wellicht is dit iets (alhoewel verschil in fout) https://serverfault.com/q...vate-key-from-file#433062

[ Voor 27% gewijzigd door Donaldinho op 24-04-2019 12:27 ]

You almost can’t blame him or the other diet gurus for leaning in on the techno-bullshit market; it’s hard to fill up a 300 page diet book on “eat a bit less and find a type of exercise that doesn’t make you hate life.”

woensdag 24 april 2019 12:52

Acties:
  • 0 Henk 'm!
  • wessel1512
  • Registratie: Februari 2015
  • Laatst online: 09-02 22:23

wessel1512

Topicstarter
bedankt Donaldinho

maar nu gaat me key vervelend lopen doen


code:
1
2

Apr 24 12:43:43 mail-server postfix/smtps/smtpd[24335]: warning: cannot get RSA private key from file "/etc/ssl/private/bogers.solutions.key": disabling TLS support
Apr 24 12:43:43 mail-server postfix/smtps/smtpd[24335]: warning: TLS library problem: error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch:../crypto/x509/x509_cmp.c:295:


de key is ge generreed van uit de niewen cert.crt

woensdag 24 april 2019 12:55

Acties:
  • 0 Henk 'm!
  • Donaldinho
  • Registratie: November 2002
  • Laatst online: 15:27

Donaldinho

wat had je aangepast zodat hij nu verder doorloopt?
Wat is de eerste regel van je private key? (alleen het stukje op de eerste regel tussen ====, NIETS van de keydata hier neerzetten)

You almost can’t blame him or the other diet gurus for leaning in on the techno-bullshit market; it’s hard to fill up a 300 page diet book on “eat a bit less and find a type of exercise that doesn’t make you hate life.”

woensdag 24 april 2019 13:01

Acties:
  • 0 Henk 'm!
  • wessel1512
  • Registratie: Februari 2015
  • Laatst online: 09-02 22:23

wessel1512

Topicstarter
ik heb een verse crt gedownload van het control panel
en daarmee een nieuwe key ge genereert

de eerte regel is gewoon
-----BEGIN PRIVATE KEY-----
geheim geheim geheim geheim
-----END PRIVATE KEY-----

nogmaals bedankt voor de moeten

woensdag 24 april 2019 13:04

Acties:
  • +1 Henk 'm!
  • Donaldinho
  • Registratie: November 2002
  • Laatst online: 15:27

Donaldinho

kijk eens of je er een RSA private key van kan maken

openssl rsa -in private.key -check

als het goed is krijg je dan een check van je private key waarbij je private key nogmaals gedisplayed wordt als -----BEGIN RSA PRIVATE KEY----- Dat opslaan als nieuwe key, config aanpassen herstarten.

You almost can’t blame him or the other diet gurus for leaning in on the techno-bullshit market; it’s hard to fill up a 300 page diet book on “eat a bit less and find a type of exercise that doesn’t make you hate life.”

woensdag 24 april 2019 13:10

Acties:
  • 0 Henk 'm!
  • wessel1512
  • Registratie: Februari 2015
  • Laatst online: 09-02 22:23

wessel1512

Topicstarter
Donaldinho schreef op woensdag 24 april 2019 @ 13:04:
kijk eens of je er een RSA private key van kan maken

openssl rsa -in private.key -check

als het goed is krijg je dan een check van je private key waarbij je private key nogmaals gedisplayed wordt als -----BEGIN RSA PRIVATE KEY----- Dat opslaan als nieuwe key, config aanpassen herstarten.
dat klopt maar ik heb helaas nog steeds de zelden error :?

ps ik doe dit op mijn linux workstation

[ Voor 4% gewijzigd door wessel1512 op 24-04-2019 13:11 ]

woensdag 24 april 2019 13:16

Acties:
  • 0 Henk 'm!
  • Donaldinho
  • Registratie: November 2002
  • Laatst online: 15:27

Donaldinho

dit al doorgelopen?

https://serverfault.com/q...vate-key-from-file#433062

You almost can’t blame him or the other diet gurus for leaning in on the techno-bullshit market; it’s hard to fill up a 300 page diet book on “eat a bit less and find a type of exercise that doesn’t make you hate life.”

woensdag 24 april 2019 13:25

Acties:
  • 0 Henk 'm!
  • wessel1512
  • Registratie: Februari 2015
  • Laatst online: 09-02 22:23

wessel1512

Topicstarter
heer geeft hij error's op
openssl x509 -in /etc/ssl/certs/postfix.pem -text -noout

de error is
:PEM routines:PEM_read_bio:no start line:../crypto/pem/pem_lib.c:691:Expecting: TRUSTED CERTIFICATE

maar ik denk dat dit komt om dat ik een .key bestand gebruik

woensdag 24 april 2019 13:28

Acties:
  • +1 Henk 'm!
  • Donaldinho
  • Registratie: November 2002
  • Laatst online: 15:27

Donaldinho

ja je kan dus je private key + bijbehordend certificate naar een (pem) file catten. En daar de volgende verwijzing naar te maken in je config:

smtpd_tls_cert_file = /etc/postfix/server.pem
smtpd_tls_key_file = $smtpd_tls_cert_file

cat certificate.crt certificate.key > certificate.pem

etc

You almost can’t blame him or the other diet gurus for leaning in on the techno-bullshit market; it’s hard to fill up a 300 page diet book on “eat a bit less and find a type of exercise that doesn’t make you hate life.”

woensdag 24 april 2019 13:35

Acties:
  • 0 Henk 'm!
  • wessel1512
  • Registratie: Februari 2015
  • Laatst online: 09-02 22:23

wessel1512

Topicstarter
nog steeds
code:
1
2

Apr 24 13:32:42 mail-server postfix/smtps/smtpd[24841]: warning: cannot get RSA private key from file "/etc/ssl/private/bogers.solutions.pem": disabling TLS support
Apr 24 13:32:42 mail-server postfix/smtps/smtpd[24841]: warning: TLS library problem: error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch:../crypto/x509/x509_cmp.c:295:


dit werkt wel
openssl x509 -in /etc/ssl/certs/postfix.pem -text -noout

woensdag 24 april 2019 13:48

Acties:
  • 0 Henk 'm!
  • Donaldinho
  • Registratie: November 2002
  • Laatst online: 15:27

Donaldinho

LS library problem: error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch:

Het lijkt er sterk op dat de private key niet hoort bij het certificaat dat je gebruikt. Heb je de private key gebruikt bij het generen van je csr? Hoe kom je aan de huidige certificate/private key?

Check eens of die twee een match zijn? Gebruik bijvoorbeeld procedure als in:
https://www.ssl.com/faqs/...es-a-csr-and-certificate/

NB: nooit private keys uploaden in forms van tools die (claimen) hetzelfde te doen.

You almost can’t blame him or the other diet gurus for leaning in on the techno-bullshit market; it’s hard to fill up a 300 page diet book on “eat a bit less and find a type of exercise that doesn’t make you hate life.”

woensdag 24 april 2019 14:00

Acties:
  • 0 Henk 'm!
  • DAzN
  • Registratie: April 2000
  • Niet online

DAzN

Ik ben in de war met de verschillende machines die je gebruikt. Om zeker te zijn, de bewerkingen die je uitvoert, doe je toch wel op de machine die uiteindelijk de maildiensten gaat aanbieden?

woensdag 24 april 2019 14:14

Acties:
  • 0 Henk 'm!
  • wessel1512
  • Registratie: Februari 2015
  • Laatst online: 09-02 22:23

wessel1512

Topicstarter
ik heb een groeten fout gemaakt waar door ik het certificate opnieuw heb moeten aan vragen

woensdag 24 april 2019 14:22

Acties:
  • 0 Henk 'm!
  • Hero of Time
  • Registratie: Oktober 2004
  • Laatst online: 10-09 22:48

Hero of Time

Moderator LNX

There is only one Legend

Je hebt je key, die je eerst had, dus verknoeit? Want je zegt net een paar keer dat je een nieuwe key hebt gemaakt door gebruik te maken van het .crt bestand. Maar dat kan helemaal niet, het .crt is het resultaat van je key. Om dan een nieuwe key te maken krijg je een verkeerde combinatie.

Beetje als aan de slotenmaker vragen om een slot te maken dat op een bepaalde sleutel pas, en dan een nieuwe, niet-passende, sleutel gebruiken om het slot proberen te openen. Dat gaat natuurlijk niet lukken.

Commandline FTW | Tweakt met mate

woensdag 24 april 2019 14:27

Acties:
  • 0 Henk 'm!
  • wessel1512
  • Registratie: Februari 2015
  • Laatst online: 09-02 22:23

wessel1512

Topicstarter
Hero of Time schreef op woensdag 24 april 2019 @ 14:22:
Je hebt je key, die je eerst had, dus verknoeit? Want je zegt net een paar keer dat je een nieuwe key hebt gemaakt door gebruik te maken van het .crt bestand. Maar dat kan helemaal niet, het .crt is het resultaat van je key. Om dan een nieuwe key te maken krijg je een verkeerde combinatie.

Beetje als aan de slotenmaker vragen om een slot te maken dat op een bepaalde sleutel pas, en dan een nieuwe, niet-passende, sleutel gebruiken om het slot proberen te openen. Dat gaat natuurlijk niet lukken.
dat klopt daarom heb ik een nieuwe key ge genereren en die heruitgegeven aan de cert provider

ik was namelijk man passfase vergeten

woensdag 24 april 2019 14:29

Acties:
  • 0 Henk 'm!
  • Donaldinho
  • Registratie: November 2002
  • Laatst online: 15:27

Donaldinho

ik hoop dat je bedoelt, nieuwe private key genereren, waarmee je een csr aanmaakt - die je gaat laten signen door de cert provider.

De private key mag je nooit delen, beschikbaar stellen, aan iemand anders geven etc. Dit is de master sleutel/je pincode.

You almost can’t blame him or the other diet gurus for leaning in on the techno-bullshit market; it’s hard to fill up a 300 page diet book on “eat a bit less and find a type of exercise that doesn’t make you hate life.”

woensdag 24 april 2019 14:31

Acties:
  • 0 Henk 'm!
  • wessel1512
  • Registratie: Februari 2015
  • Laatst online: 09-02 22:23

wessel1512

Topicstarter
ja dat kopt

woensdag 24 april 2019 14:38

Acties:
  • 0 Henk 'm!
  • wessel1512
  • Registratie: Februari 2015
  • Laatst online: 09-02 22:23

wessel1512

Topicstarter
ik heb weer een stap veder

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20

 Apr 24 14:35:35 mail-server dovecot: imap-login: Aborted login (no auth attempts in 0 secs): user=<>, rip=192.168.2.209, lip=10.10.50.7, session=<0t0l8EWHEJjAqALR>
Apr 24 14:35:35 mail-server dovecot: imap-login: Aborted login (no auth attempts in 0 secs): user=<>, rip=192.168.2.209, lip=10.10.50.7, session=<lO4l8EWHFJjAqALR>
Apr 24 14:35:35 mail-server postfix/smtps/smtpd[25395]: connect from unknown[192.168.2.209]
Apr 24 14:35:35 mail-server postfix/smtps/smtpd[25399]: connect from unknown[192.168.2.209]
Apr 24 14:35:46 mail-server postfix/smtps/smtpd[25399]: SSL_accept error from unknown[192.168.2.209]: lost connection
Apr 24 14:35:46 mail-server postfix/smtps/smtpd[25395]: SSL_accept error from unknown[192.168.2.209]: lost connection
Apr 24 14:35:46 mail-server postfix/smtps/smtpd[25395]: lost connection after CONNECT from unknown[192.168.2.209]
Apr 24 14:35:46 mail-server postfix/smtps/smtpd[25399]: lost connection after CONNECT from unknown[192.168.2.209]
Apr 24 14:35:46 mail-server postfix/smtps/smtpd[25399]: disconnect from unknown[192.168.2.209] commands=0/0
Apr 24 14:35:46 mail-server postfix/smtps/smtpd[25395]: disconnect from unknown[192.168.2.209] commands=0/0
Apr 24 14:36:01 mail-server postfix/smtps/smtpd[25399]: connect from unknown[192.168.2.209]
Apr 24 14:36:01 mail-server postfix/smtps/smtpd[25395]: connect from unknown[192.168.2.209]
Apr 24 14:36:01 mail-server dovecot: imap-login: Aborted login (no auth attempts in 0 secs): user=<>, rip=192.168.2.209, lip=10.10.50.7, session=<bvy68UWHJpjAqALR>
Apr 24 14:36:01 mail-server dovecot: imap-login: Aborted login (no auth attempts in 0 secs): user=<>, rip=192.168.2.209, lip=10.10.50.7, session=<Bwy78UWHKJjAqALR>
Apr 24 14:36:13 mail-server postfix/smtps/smtpd[25399]: SSL_accept error from unknown[192.168.2.209]: lost connection
Apr 24 14:36:13 mail-server postfix/smtps/smtpd[25395]: SSL_accept error from unknown[192.168.2.209]: lost connection
Apr 24 14:36:13 mail-server postfix/smtps/smtpd[25395]: lost connection after CONNECT from unknown[192.168.2.209]
Apr 24 14:36:13 mail-server postfix/smtps/smtpd[25399]: lost connection after CONNECT from unknown[192.168.2.209]
Apr 24 14:36:13 mail-server postfix/smtps/smtpd[25395]: disconnect from unknown[192.168.2.209] commands=0/0
Apr 24 14:36:13 mail-server postfix/smtps/smtpd[25399]: disconnect from unknown[192.168.2.209] commands=0/0


openssl s_client -connect hosthame:993

zegt verify error:num=18:self signed certificate


maar nu wat

woensdag 24 april 2019 14:43

Acties:
  • 0 Henk 'm!
  • Hero of Time
  • Registratie: Oktober 2004
  • Laatst online: 10-09 22:48

Hero of Time

Moderator LNX

There is only one Legend

Je client breekt gewoon zonder reden de connectie af. En als er om een login wordt gevraagd, wordt er niets gestuurd. Je server vraagt wat, maar krijgt doodse stilte terug.

De SSL_accept error is op te Googlen. Je client zou ook iets moeten zeggen op dat moment.

Commandline FTW | Tweakt met mate

woensdag 24 april 2019 14:43

Acties:
  • 0 Henk 'm!
  • Donaldinho
  • Registratie: November 2002
  • Laatst online: 15:27

Donaldinho

Ik krijg niet echt het gevoel dat je er zelf veel moeite voor doet. Google op de foutmelding helpt al veel: https://serverfault.com/q...client-connect-to-postfix

Ik ben weg hier succes : )

You almost can’t blame him or the other diet gurus for leaning in on the techno-bullshit market; it’s hard to fill up a 300 page diet book on “eat a bit less and find a type of exercise that doesn’t make you hate life.”

woensdag 24 april 2019 14:46

Acties:
  • 0 Henk 'm!
  • wessel1512
  • Registratie: Februari 2015
  • Laatst online: 09-02 22:23

wessel1512

Topicstarter
dat doe ik wel maar ik zet eerst de error neer

en daar naar edit ik de post lals ik zelf al it uitgeprobeerd heb bij voorbuild

openssl s_client -connect hosthame:993

zegt verify error:num=18:self signed certificate


code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65

CONNECTED(00000003)
depth=0 CN = mail-server
verify error:num=18:self signed certificate
verify return:1
depth=0 CN = mail-server
verify return:1
---
Certificate chain
 0 s:/CN=mail-server
   i:/CN=mail-server
---
Server certificate
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
subject=/CN=mail-server
issuer=/CN=mail-server
---
No client certificate CA names sent
Peer signing digest: SHA512
Server Temp Key: ECDH, P-384, 384 bits
---
SSL handshake has read 1418 bytes and written 334 bytes
Verification error: self signed certificate
---
New, TLSv1.2, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES256-GCM-SHA384
    Session-ID: 88B141BDD196035C7E028B0615FDCD3D520C14246C34627E024576B4CE01929F
    Session-ID-ctx: 
    Master-Key: 75AC3D07AAE157FDBB506519A7AADE6E5640229F32E9800009F0E17FCF6C57F85D8E5736A793E5D5F123F81EE92D8C73
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    TLS session ticket lifetime hint: 7200 (seconds)
    TLS session ticket:
    0000 - b5 98 8a 51 cc f4 f0 00-fb 53 0f df ee 20 ce 0f   ...Q.....S... ..
    0010 - a4 89 fe ec 94 01 30 1b-83 13 d6 52 df 45 84 59   ......0....R.E.Y
    0020 - 6d 66 9d 05 f2 2e 74 d4-73 80 8f c4 1e 99 db 6d   mf....t.s......m
    0030 - 8e 04 1b ff da 94 70 6e-2e f5 a6 69 9e c1 9b c8   ......pn...i....
    0040 - 18 3d 8c 2f 1a 4d f3 5a-31 d0 94 38 1d bd 28 16   .=./.M.Z1..8..(.
    0050 - 0b 87 d8 59 60 90 e4 c8-b8 83 b8 07 3d 13 cb 74   ...Y`.......=..t
    0060 - e0 3f 1a 3f 3f 9d 61 63-9d ac 81 6f 8e d3 1c a3   .?.??.ac...o....
    0070 - eb 61 32 f6 99 fb 87 c4-93 24 fa 4f 2a 97 e3 30   .a2......$.O*..0
    0080 - 0d 2b b0 8a b7 68 75 b4-b5 8a b6 42 30 a9 84 06   .+...hu....B0...
    0090 - cc 9e d2 a9 da 3f 22 0e-39 b2 cf 3f c7 18 d7 1d   .....?".9..?....

    Start Time: 1556110065
    Timeout   : 7200 (sec)
    Verify return code: 18 (self signed certificate)
    Extended master secret: yes
---
* OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE IDLE AUTH=PLAIN] Dovecot (Ubuntu) ready.

* BAD Error in IMAP command received by server.

* BAD Error in IMAP command received by server.

* BYE Too many invalid IMAP commands.
closed

[ Voor 103% gewijzigd door wessel1512 op 24-04-2019 14:49 . Reden: meer info ]

woensdag 24 april 2019 15:53

Acties:
  • 0 Henk 'm!
  • Hero of Time
  • Registratie: Oktober 2004
  • Laatst online: 10-09 22:48

Hero of Time

Moderator LNX

There is only one Legend

wessel1512 schreef op woensdag 24 april 2019 @ 14:46:
dat doe ik wel maar ik zet eerst de error neer

en daar naar edit ik de post lals ik zelf al it uitgeprobeerd heb bij voorbuild
Je hoort het andersom te doen. Eerst de error door Google halen, je bevindingen uitschrijven en het resultaat ervan hier posten.

Het valt mij ook op dat je in geen enkele post hier leestekens gebruikt. Overal missen punten, hoofdletters, etc. Dat leest heel erg vervelend.

Commandline FTW | Tweakt met mate

woensdag 24 april 2019 19:03

Acties:
  • 0 Henk 'm!
  • igmar
  • Registratie: April 2000
  • Laatst online: 03-09 22:58

igmar

ISO20022

wessel1512 schreef op woensdag 24 april 2019 @ 14:46:
dat doe ik wel maar ik zet eerst de error neer

en daar naar edit ik de post lals ik zelf al it uitgeprobeerd heb bij voorbuild

openssl s_client -connect hosthame:993

zegt verify error:num=18:self signed certificate
Wat snap je hier niet aan ? De melding is duidelijk : De server geeft een self-signed certificate terug. Dat zegt
depth=0 CN = mail-server
verify return:1
ook. Je moet :

1) De private key zonder passphrase op je server neerzetten
2) Je server vertellen wat je key is
3) Je server vertellen wat je certificate is
4) Je server vertellen wat je CA chain is

hier staat precies uiteengezet wat je moet aanpassen. D'r staan op die site handleidingen voor zo ongeveer elk systeem denkbaar.

woensdag 24 april 2019 23:17

Acties:
  • 0 Henk 'm!
  • Zebby
  • Registratie: Maart 2009
  • Laatst online: 16:23

Zebby

Het is best verwarrend allemaal als je niet goed weet hoe het werkt. Ik zie trouwens dat je een certificaat voor je postfix server probeert te realiseren, wat ik zelf niet heb gedaan. Ik ken het principe alleen voor domeinnamen.

Voor de zekerheid, dit is als het goed is het proces dat je hebt doorlopen om je certificaat in ieder geval aan te maken. Als het hier al fout gaat namelijk dan kunnen we debuggen tot we een ons wegen.

Op je Linux server heb je in (bv) /etc/nginx/ssl/ een private key aangemaakt en hiervan een .csr bestand gemaakt. Dit kan bv met het commando: openssl req -out mijncsr.csr -new -newkey rsa:2048 -nodes -keyout mijnpk.key

De ".key" file is je private key, jouw unieke sleutel die niemand anders mag weten. Op basis hiervan creer je normaliter een .csr, een bestand wat je bij je certificaat uitgevende partij (Xolphin) geeft en past bij jouw private key. Zij geven op hun beurt het certificaat terug inclusief de keten van je certificaat dat herleidt naar Xolphin als uitgever. Vaak gaat dit:
jouwsite.cert/pem
tussencertificaat.cert/pem
rootcertificaat.cert/pem

In mijn geval moet ik deze in 1 file zetten op bovenstaande volgorde en plaatsen in mijn certificaat directory, en hiernaar refereren in mijn config file.
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq