docSubject: Fetchmail SSL-Problem Posted by Andre Friedland on Thu
download 
Denúncia Transcrição
Subject: Fetchmail SSL-Problem Posted by Andre Friedland on Thu
Subject: Fetchmail SSL-Problem Posted by Andre Friedland on Thu, 03 Mar 2011 21:20:36 GMT View Forum Message <> Reply to Message Hi, base: 1.7.4 eiskernel: 1.26.0 mail 1.10.1 certs 1.2.0 bekomme folgende Fehlermeldung: fetchmail: awakened at Thu, 03 Mar 2011 21:51:03 (CET) fetchmail: Server certificate verification error: unable to get local issuer certificate fetchmail: This means that the root signing certificate (issued for /C=DE/ST=Bayern/L=Munich/O=GMX GmbH/CN=pop.gmx.net) is not in the trusted CA certificate locations, or that c_rehash needs to be run on the certificate directory. For details, please see the documentation of --sslcertpath and --sslcertfile in the manual page. 20612:error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed:s3_clnt.c:984: fetchmail: SSL connection failed. fetchmail: socket error while fetching from [email protected]>@pop.gmx.net fetchmail: Query status=2 (SOCKET) obwohl ein openssl verify -CApath /usr/local/ssl/certs -verbose pop3.gmx.net.pem pop3.gmx.net.pem: OK ausgibt. Bekomme mit openssl x509 -in pop3.gmx.net.pem -noout -fingerprint -md5 auch den Fingerprint. Rehash schon gemacht, Zertifikat von GMX neu geholt, das Zertifikat von Thawte ebenfalls. Was hab ich wo übersehen? LG Andre Page 1 of 8 ---- Generated from net(t)forum Subject: Re: Fetchmail SSL-Problem Posted by Juergen Edner on Sat, 05 Mar 2011 10:30:05 GMT View Forum Message <> Reply to Message Hallo Andre, > > > > > > > > > > fetchmail: awakened at Thu, 03 Mar 2011 21:51:03 (CET) fetchmail: Server certificate verification error: unable to get local issuer certificate fetchmail: This means that the root signing certificate (issued for /C=DE/ST=Bayern/L=Munich/O=GMX GmbH/CN=pop.gmx.net) is not in the trusted CA certificate locations, or that c_rehash needs to be run on the certificate directory. For details, please see the documentation of --sslcertpath and --sslcertfile in the manual page. Was hab ich wo übersehen? seit der certs-Version 1.1.9 gibt es einen eigenen Menüpunkt zum Prüfen einer Zertifikatskette. Siehe 'setup -> Service administration -> Certs Service -> Show certificate chain' Was gibt diese Funktion im Detail aus? Gruß Jürgen -Mail: [email protected] Subject: Re: Fetchmail SSL-Problem Posted by Andre Friedland on Sat, 05 Mar 2011 15:35:53 GMT View Forum Message <> Reply to Message Am 05.03.2011 11:30, schrieb Juergen Edner: > > > > > seit der certs-Version 1.1.9 gibt es einen eigenen Menüpunkt zum Prüfen einer Zertifikatskette. Siehe 'setup -> Service administration -> Certs Service -> Show certificate chain' Was gibt diese Funktion im Detail aus? Hallo Jürgen, | certificate: pop3.gmx.net.pem (ec4e2774) | subject : /C=DE/ST=Bayern/L=Munich/O=GMX GmbH/CN=pop.gmx.net | issuer : /C=ZA/ST=Western Cape/L=Cape Town/O=Thawte Consulting cc/OU=Certification Services Division/CN=Thawte Pre | +->| certificate: ThawtePremiumServerCA.pem (98ec67f0) | subject : /C=ZA/ST=Western Cape/L=Cape Town/O=Thawte Consulting cc/OU=Certification Services Division/CN=Thawte | issuer : /C=ZA/ST=Western Cape/L=Cape Town/O=Thawte Consulting cc/OU=Certification Services Division/CN=Thawte Page 2 of 8 ---- Generated from net(t)forum | +-> end of chain! | certificate: ThawtePremiumServerCA.pem (98ec67f0) | subject : /C=ZA/ST=Western Cape/L=Cape Town/O=Thawte Consulting cc/OU=Certification Services Division/CN=Thawte Pre | issuer : /C=ZA/ST=Western Cape/L=Cape Town/O=Thawte Consulting cc/OU=Certification Services Division/CN=Thawte Pre | +-> end of chain! Sieht für mich eigentlich soweit gut aus. LG Andre Subject: Re: Fetchmail SSL-Problem Posted by Juergen Edner on Sat, 05 Mar 2011 16:23:35 GMT View Forum Message <> Reply to Message Hallo Andre, >> seit der certs-Version 1.1.9 gibt es einen eigenen Menüpunkt zum Prüfen >> einer Zertifikatskette. Siehe 'setup -> Service administration -> >> Certs Service -> Show certificate chain' >> >> Was gibt diese Funktion im Detail aus? > > Hallo Jürgen, > > | certificate: pop3.gmx.net.pem (ec4e2774) > | subject : /C=DE/ST=Bayern/L=Munich/O=GMX GmbH/CN=pop.gmx.net > | issuer : /C=ZA/ST=Western Cape/L=Cape Town/O=Thawte Consulting > cc/OU=Certification Services Division/CN=Thawte Pre > | > +->| certificate: ThawtePremiumServerCA.pem (98ec67f0) > | subject : /C=ZA/ST=Western Cape/L=Cape Town/O=Thawte Consulting > cc/OU=Certification Services Division/CN=Thawte > | issuer : /C=ZA/ST=Western Cape/L=Cape Town/O=Thawte Consulting > cc/OU=Certification Services Division/CN=Thawte > | > +-> end of chain! > ... > Sieht für mich eigentlich soweit gut aus. die Zertifikatskette scheint komplett zu sein und auch die Hash-Links wurden meines Erachtens korrekt gesetzt. Starte Fetchmail doch einmal im Debug-Modus und schaue Dir dann die detaillierteren Meldungen an: Page 3 of 8 ---- Generated from net(t)forum /etc/init.d/mail -debug restart fetch Gruß Jürgen -Mail: [email protected] Subject: Re: Fetchmail SSL-Problem Posted by Andre Friedland on Sat, 05 Mar 2011 17:22:19 GMT View Forum Message <> Reply to Message Am 05.03.2011 17:23, schrieb Juergen Edner: > wurden meines Erachtens korrekt gesetzt. Starte Fetchmail doch einmal > im Debug-Modus und schaue Dir dann die detaillierteren Meldungen an: > > /etc/init.d/mail -debug restart fetch Hallo Jürgen, fetchmail: Old UID list from pop.gmx.net: <empty> fetchmail: Old UID list from pop.gmx.net: <empty> fetchmail: Old UID list from pop.gmx.net: <empty> fetchmail: Old UID list from pop.gmx.net: <empty> fetchmail: Scratch list of UIDs: <empty> LG Andre Subject: Re: Fetchmail SSL-Problem Posted by Andre Friedland on Sat, 05 Mar 2011 17:25:30 GMT View Forum Message <> Reply to Message Ach ja, vergessen, sry: fetchmail: starting fetchmail 6.3.17 daemon fetchmail: 6.3.17 querying pop.gmx.net (protocol POP3) at Sat, 05 Mar 2011 18:19:24 +0100 (CET): poll started fetchmail: awakened at Sat, 05 Mar 2011 18:19:24 (CET) fetchmail: Trying to connect to 212.227.17.169/995...connected. fetchmail: Server certificate: fetchmail: Issuer Organization: Thawte Consulting cc fetchmail: Issuer CommonName: Thawte Premium Server CA fetchmail: Subject CommonName: pop.gmx.net fetchmail: pop.gmx.net key fingerprint: XX:XX:XX:XX:XX:XX:XX:99:00:E9:3A:B8:81:55:D7:B6 fetchmail: pop.gmx.net fingerprints match. fetchmail: Server certificate verification error: unable to get local issuer certificate fetchmail: This means that the root signing certificate (issued for Page 4 of 8 ---- Generated from net(t)forum /C=DE/ST=Bayern/L=Munich/O=GMX GmbH/CN=pop.gmx.net) is not in the trusted CA certificate locations, or that c_rehash needs to be run on the certificate directory. For details, please see the documentation of --sslcertpath and --sslcertfile in the manual page. 24738:error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed:s3_clnt.c:984: fetchmail: SSL connection failed. fetchmail: socket error while fetching from [email protected]>@pop.gmx.net fetchmail: 6.3.17 querying pop.gmx.net (protocol POP3) at Sat, 05 Mar 2011 18:19:25 +0100 (CET): poll completed fetchmail: Merged UID list from pop.gmx.net: <empty> fetchmail: Query status=2 (SOCKET) Subject: Re: Fetchmail SSL-Problem Posted by Juergen Edner on Sun, 06 Mar 2011 11:56:10 GMT View Forum Message <> Reply to Message Hallo Andre, ich glaube nun die Problemursache identifiziert zu haben. Du hast sicherlich das libssl-Paket v1.2.14 auf Deinem Rechner installiert?! Diese Paket bringt ein neues OpenSSL-Programm v1.0.x mit welches standardmäßig einen neuen Hash-Algorithmus verwendet wodurch es Probleme beim Auffinden von Zertifikaten gibt, wenn diese gegen eine ältere libssl-Version gelinkt wurden. Ich schicke Dir einmal eine modifizierte c_rehash-Datei zu, mit der Bitte diese zu testen. Falls damit alles wieder korrekt funktioniert, werde ich ein aktualisiertes certs-Paket herausbringen um das Problem allgemein zu lösen. Gruß Jürgen -Mail: [email protected] Subject: Re: Fetchmail SSL-Problem Posted by Ralf Diehl on Mon, 07 Mar 2011 08:40:23 GMT View Forum Message <> Reply to Message Hallo zusammen, hallo Jürgen, Am 03.03.2011 22:20, schrieb Andre Friedland: > > > > > > base: 1.7.4 eiskernel: 1.26.0 mail 1.10.1 certs 1.2.0 bekomme Fehlermeldung... Page 5 of 8 ---- Generated from net(t)forum Ich möchte mich dem Thread mit identischer Fehlerbild anschließen. Problem trat bei mir nach Update des Certs Paket (letzte Woche) auf. Gruß Ralf Subject: Re: Fetchmail SSL-Problem Posted by Marcus Roeckrath on Mon, 07 Mar 2011 09:36:37 GMT View Forum Message <> Reply to Message Hallo Jürgen, Juergen Edner wrote: > ich glaube nun die Problemursache identifiziert zu haben. Du hast > sicherlich das libssl-Paket v1.2.14 auf Deinem Rechner installiert?! Habe ich hier auch drauf ... > > Diese Paket bringt ein neues OpenSSL-Programm v1.0.x mit welches > standardmäßig einen neuen Hash-Algorithmus verwendet wodurch es > Probleme beim Auffinden von Zertifikaten gibt, wenn diese gegen > eine ältere libssl-Version gelinkt wurden. .... aber diese Probleme nicht. Andererseits häufen sich zeitweise Authentifizierungsprobleme mit gmx.net. Aber das ist kein andauerndes sondern temporäres Problem: fetchmail: Authorization failure on [email protected]>@pop.gmx.net (previously authorized) fetchmail: Query status=3 (AUTHFAIL) Gleichäufig gibt es auch Socket-Error: fetchmail: timeout after 120 seconds waiting for server pop.gmx.net. fetchmail: socket error while fetching from [email protected]>@pop.gmx.net fetchmail: Query status=2 (SOCKET) Hat da gmx eventuell etwas nicht im Griff? -Gruss Marcus Subject: Re: Fetchmail SSL-Problem Posted by Andre Friedland on Tue, 08 Mar 2011 15:54:18 GMT View Forum Message <> Reply to Message Page 6 of 8 ---- Generated from net(t)forum Am 06.03.2011 12:56, schrieb Juergen Edner: > > > > Ich schicke Dir einmal eine modifizierte c_rehash-Datei zu, mit der Bitte diese zu testen. Falls damit alles wieder korrekt funktioniert, werde ich ein aktualisiertes certs-Paket herausbringen um das Problem allgemein zu lösen. Hallo Jürgen, vermelde Erfolg, Problem gelöst. Vielen Dank. LG Andre Subject: Re: Fetchmail SSL-Problem Posted by Juergen Edner on Tue, 08 Mar 2011 17:47:45 GMT View Forum Message <> Reply to Message Hallo Andre, >> Ich schicke Dir einmal eine modifizierte c_rehash-Datei zu, mit >> der Bitte diese zu testen. Falls damit alles wieder korrekt >> funktioniert, werde ich ein aktualisiertes certs-Paket herausbringen >> um das Problem allgemein zu lösen. > > ... > vermelde Erfolg, Problem gelöst. danke für die Rückmeldung, ich habe gerade das certs-Paket v1.2.1 herausgebracht welches das Problem behebt. Gruß Jürgen -Mail: [email protected] Subject: Re: Fetchmail SSL-Problem Posted by Andre Friedland on Thu, 10 Mar 2011 02:40:22 GMT View Forum Message <> Reply to Message Am 08.03.2011 18:47, schrieb Juergen Edner: > ich habe gerade das certs-Paket > v1.2.1 herausgebracht welches das Problem behebt. Hallo Jürgen, wenn's sonst keiner sagt: Danke fein. Page 7 of 8 ---- Generated from net(t)forum LG Andre Page 8 of 8 ---- Generated from net(t)forum
