Re: ssl 3.0
Boris Andratzek [EMAIL PROTECTED] wrote: danke für die Antwort. Ich hatte inzwischen schon die etwas wilden Zeilen # SSL-Konfiguration BEGIN SSLEngine on SSLProtocol -all +SSLv2 SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL in unseren Virtual-Host-Definitionen für das Problem verantwortlich gefunden, die ich in diesem Zusammenhang einmal zur öffentlichen Diskussion stellen möchte! Das steht ja auch in der Apache-SSL FAQ als beispiel wie man _nur_ SSLv2 aktivieren kann. , | SSLProtocol +all -SSLv2 ` Was würde das wohl bewirken? Gruß, Boris Rob -- I heard if you play the Windows-XP-CD backwards, you get a satanic message. That's nothing, if you play it forward, it installs Windows XP -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ssl 3.0
Sebastian Kayser wrote: * Boris Andratzek [EMAIL PROTECTED] wrote: wir haben hier einen Apache laufen u.A. mit openssl. Nun ist der Firefox 2.0 rausgekommen und der kann ja kein ssl 2.0 mehr. Ich finde nur sehr wenig bis kein Info dazu, was ich machen muss, damit unser openssl (0.9.7g-1) ssl 3.0 'spricht'. Wenn Du mit damit unser openssl ssl 3.0 spricht mod_ssl von Apache 2.x und dessen Konfiguration meinst, wirst Du in der mod_ssl-Doku unter http://httpd.apache.org/docs/2.0/mod/mod_ssl.html http://httpd.apache.org/docs/2.2/mod/mod_ssl.html fündig. Sollte standardmäßig (d.h. insofern nicht andersweitig konfiguriert) bereits SSLv3 sprechen. Kannste direkt mit openssl s_client -connect euer.host.de:443 -ssl3 Hej Sebastian, danke für die Antwort. Ich hatte inzwischen schon die etwas wilden Zeilen # SSL-Konfiguration BEGIN SSLEngine on SSLProtocol -all +SSLv2 SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL in unseren Virtual-Host-Definitionen für das Problem verantwortlich gefunden, die ich in diesem Zusammenhang einmal zur öffentlichen Diskussion stellen möchte! Gruß, Boris
ssl 3.0
Hallo zusammen, wir haben hier einen Apache laufen u.A. mit openssl. Nun ist der Firefox 2.0 rausgekommen und der kann ja kein ssl 2.0 mehr. Ich finde nur sehr wenig bis kein Info dazu, was ich machen muss, damit unser openssl (0.9.7g-1) ssl 3.0 'spricht'. Weiß da jemand was?? Thanks, Boris
Re: ssl 3.0
* Boris Andratzek [EMAIL PROTECTED] wrote: wir haben hier einen Apache laufen u.A. mit openssl. Nun ist der Firefox 2.0 rausgekommen und der kann ja kein ssl 2.0 mehr. Ich finde nur sehr wenig bis kein Info dazu, was ich machen muss, damit unser openssl (0.9.7g-1) ssl 3.0 'spricht'. Wenn Du mit damit unser openssl ssl 3.0 spricht mod_ssl von Apache 2.x und dessen Konfiguration meinst, wirst Du in der mod_ssl-Doku unter http://httpd.apache.org/docs/2.0/mod/mod_ssl.html http://httpd.apache.org/docs/2.2/mod/mod_ssl.html fündig. Sollte standardmäßig (d.h. insofern nicht andersweitig konfiguriert) bereits SSLv3 sprechen. Kannste direkt mit openssl s_client -connect euer.host.de:443 -ssl3 testen. Sebastian -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ssl cert für apache2.2 generieren
Hi, Bastian Venthur wrote: N'abend Liste, seit apache2.2 gibt es das Skript apache2-ssl-certificate nicht mehr, was bis dahin immer sehr komfortabel Zertifikate generiert hat. Nun muss man sich wohl oder übel selbst behelfen. Hat jemand ne kleine Anleitung parat? Ich bin in diesem Fall ziemlich unsicher weil ich gelesen habe dass man je nachdem wie man es anstellt eine passphrase eingeben muss, was dazu führen kann, dass das System nicht mehr bootet (weil es auf die passphrase wartet). vielleicht von einer 2.0 Installation kopieren? Ansonsten tut das Skript doch auch nicht mehr, als man simple zu Fuss machen kann. openssl req $@ -config /usr/share/apache2/ssleay.cnf \ -new -x509 -nodes -out /etc/apache2/ssl/apache.pem \ -keyout /etc/apache2/ssl/apache.pem chmod 600 /etc/apache2/ssl/apache.pem ln -sf /etc/apache2/ssl/apache.pem \ /etc/apache2/ssl/`/usr/bin/openssl \ x509 -noout -hash /etc/apache2/ssl/apache.pem`.0 Imho gibst Du bei der Passphrase einfach nichts ein. Reinhold -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ssl cert für apache2.2 generieren
Hi, openssl req $@ -config /usr/share/apache2/ssleay.cnf \ -new -x509 -nodes -out /etc/apache2/ssl/apache.pem \ -keyout /etc/apache2/ssl/apache.pem chmod 600 /etc/apache2/ssl/apache.pem ln -sf /etc/apache2/ssl/apache.pem \ /etc/apache2/ssl/`/usr/bin/openssl \ x509 -noout -hash /etc/apache2/ssl/apache.pem`.0 Imho gibst Du bei der Passphrase einfach nichts ein. Soweit ich weiss sorgt -nodes dafür dass kein Passphrase benötigt wird. Ansonsten verwende ich auch das CA.pl bzw CA.sh, die sind recht handlich :) Sven -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
ipconntrack_ftp vsftpd SSL iptables
Hi Liste, Ich versuche meinen vsftpd mit SSL zu betreiben. Die wichtigen Optionen wären: pasv_promiscuous=YES port_promiscuous=YES listen_port=21 pasv_min_port=62000 pasv_max_port=62000 ssl_enable=YES allow_anon_ssl=NO force_local_data_ssl=NO force_local_logins_ssl=NO ssl_tlsv1=YES ssl_sslv2=YES ssl_sslv3=YES rsa_cert_file=/etc/ssl/certs/vsftp.pem Ich verwende ip_conntrack sowie ip_conntrack_ftp fest im Kernel. Meine iptables Regeln sehen folgendermaßen aus: # Wir setzen die Default Policy der Ketten iptables -P INPUT ACCEPT iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables -F INPUT iptables -F OUTPUT iptables -F FORWARD iptables -F ACCOUNTING iptables -F LDROP iptables -N ACCOUNTING iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -i eth0 -j ACCOUNTING iptables -N LDROP iptables -A LDROP -j DROP iptables -A ACCOUNTING -p tcp -m multiport --ports 113 -j ACCEPT iptables -A ACCOUNTING -p tcp -m multiport --ports 25,995 -j ACCEPT iptables -A ACCOUNTING -p tcp -m multiport --ports 6668 -j ACCEPT iptables -A ACCOUNTING -p tcp -m multiport --ports 62000,21 -j ACCEPT iptables -A ACCOUNTING -p udp -m multiport --ports 53 -j ACCEPT iptables -A ACCOUNTING -j ACCEPT -p icmp -m limit --limit 10/min -m icmp --icmp-type 8 iptables -A ACCOUNTING -j LDROP Normale ftp Verbindungen ohne ssl klappen. ssl verbindungen starten, bei voller geschwindigkeit, werden immer langsamer und beenden sich mit: 150 Opening BINARY mode data connection for test.bin (3891200 bytes). Session Cipher: 168 bit 3DES TLS encrypted session established. Transfer Timeout (40s). Closing data connection. 489722 bytes transferred. (8,74 KB/s) (00:00:54) 426 Failure writing network stream. MDTM test.bin 213 20061116035943 Transfer failed. NOOP Für jeden Hinweis wär ich dankbar. -- Mit besten Grüßen Stefan Bauer www.plzk.de - www.splatterworld.de [EMAIL PROTECTED] . [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
ssl cert für apache2.2 generieren
N'abend Liste, seit apache2.2 gibt es das Skript apache2-ssl-certificate nicht mehr, was bis dahin immer sehr komfortabel Zertifikate generiert hat. Nun muss man sich wohl oder übel selbst behelfen. Hat jemand ne kleine Anleitung parat? Ich bin in diesem Fall ziemlich unsicher weil ich gelesen habe dass man je nachdem wie man es anstellt eine passphrase eingeben muss, was dazu führen kann, dass das System nicht mehr bootet (weil es auf die passphrase wartet). Schöne Grüße, Bastian (der sich wundert warum das Skript überhaupt entfernt wurde...) -- Bastian Venthur http://venthur.de -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ssl cert für apache2.2 generieren
Bastian Venthur schrieb: seit apache2.2 gibt es das Skript apache2-ssl-certificate nicht mehr, was bis dahin immer sehr komfortabel Zertifikate generiert hat. Hi, ich verwende für alles was SSL relevant ist CA.pl /usr/lib/ssl/misc/CA.pl Anbei auch noch mein Lieblings Howto: http://sandbox.rulemaker.net/ngps/m2/howto.ca.html -- Mit besten Grüßen -- Stefan Bauer www.plzk.de - www.splatterworld.de [EMAIL PROTECTED] . [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: SSL+Dav für user?
Hallo, Am Sonntag, 29. Oktober 2006 22:46 schrieb Bastian Venthur: Thorsten Schmidt wrote: Hallo, Am Sonntag, 29. Oktober 2006 14:51 schrieb Bastian Venthur: Hi, gibt es eine Möglichkeit jedem User sein eigenes DAV-Verzeichnis zur Verfügung zu stellen? Authentifizierung mit PAM fällt schon mal flach weils zu unsicher ist, aber wenn jeder user nur ähnlich wie bei public_html ein Verzeichnis anlegen müsste und dort eine .httaccess oder password-Datei anlegen muss wäre das akzeptabel. Warum ist pam zu unsicher? PAM ansich ist erstmal nicht unsicher, aber um user-authentification mittels PAM zu benutzen, muss man apache Leserechte auf /etc/shadow geben, was bei kompromittiertem apache ne krasse Sicherheitslücke darstellt. Ich würde ja der einfachhalthalber auch lieber PAM zur Authentifizierung benutzen, aber was ich so gelesen habe ist das mit apache scheinbar nicht möglich ohne Löcher ins System zu reißen. ;) - Naja, der Apache braucht natürlich Leserechte auf seine Kennwort-Datenbank. Weill man kein Pam begnügt man sich häufig mit suid'ten CGI oder nimmt bei größeren Installation ein LDAP. So kann man die Leserechte des Apache auf nicht-kritische PAM-Bereiche einschränken. Ich frag mich allerdings wie andere Programme (ssh, dovecot, usw.) es schaffen ohne solche Probleme aufzuwerfen. SSH läuft per default als root. Bis dene Thorsten
SSL+Dav für user?
Hi, gibt es eine Möglichkeit jedem User sein eigenes DAV-Verzeichnis zur Verfügung zu stellen? Authentifizierung mit PAM fällt schon mal flach weils zu unsicher ist, aber wenn jeder user nur ähnlich wie bei public_html ein Verzeichnis anlegen müsste und dort eine .httaccess oder password-Datei anlegen muss wäre das akzeptabel. -- Bastian Venthur http://venthur.de -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: SSL+Dav für user?
Hallo, Am Sonntag, 29. Oktober 2006 14:51 schrieb Bastian Venthur: Hi, gibt es eine Möglichkeit jedem User sein eigenes DAV-Verzeichnis zur Verfügung zu stellen? Authentifizierung mit PAM fällt schon mal flach weils zu unsicher ist, aber wenn jeder user nur ähnlich wie bei public_html ein Verzeichnis anlegen müsste und dort eine .httaccess oder password-Datei anlegen muss wäre das akzeptabel. Warum ist pam zu unsicher? Bis dene Thorsten
Re: SSL+Dav für user?
Thorsten Schmidt wrote: Hallo, Am Sonntag, 29. Oktober 2006 14:51 schrieb Bastian Venthur: Hi, gibt es eine Möglichkeit jedem User sein eigenes DAV-Verzeichnis zur Verfügung zu stellen? Authentifizierung mit PAM fällt schon mal flach weils zu unsicher ist, aber wenn jeder user nur ähnlich wie bei public_html ein Verzeichnis anlegen müsste und dort eine .httaccess oder password-Datei anlegen muss wäre das akzeptabel. Warum ist pam zu unsicher? PAM ansich ist erstmal nicht unsicher, aber um user-authentification mittels PAM zu benutzen, muss man apache Leserechte auf /etc/shadow geben, was bei kompromittiertem apache ne krasse Sicherheitslücke darstellt. Ich würde ja der einfachhalthalber auch lieber PAM zur Authentifizierung benutzen, aber was ich so gelesen habe ist das mit apache scheinbar nicht möglich ohne Löcher ins System zu reißen. Ich frag mich allerdings wie andere Programme (ssh, dovecot, usw.) es schaffen ohne solche Probleme aufzuwerfen. -- Bastian Venthur http://venthur.de -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: mod_python, python-ldap und SSL/TLS
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Jan Kohnert schrieb: Hallo, ich nochmal, Nur wenn ich das Ganze unter mod_python im Web ausfuehre, Bringt er mir einen TLS Negotiation failure. (so das log vom slapd). Ohne TLS funktioniert es auch da prima, aber ich moechte nun einmal eine verschluesselte Verbindung, die ja sonst auch ueberall prima funktioniert. OK, es hat sich geklaert. Das Problem lag wohl darin, das der Apache auf eine andere Openssl-Version gelinkt war. Manchmal nert sowas, aber naja, wir lernen daraus: ein konsistentes System sollte halt nur eine libssl haben. ;) Trotzdem danke fuers Lesen, und vielleicht hilfts es ja anderen, die spaeter mal vor einem solchen Problem stehen. MfG Jan -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.5 (GNU/Linux) iD8DBQFFBogyZRp6KEAo/3oRAqSEAKDMzEcNKijWQOLSXOcH6sYxRSKHiACfX5rP nhpUoVNA3IEKKoNetHRI3Uw= =eVuK -END PGP SIGNATURE- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
mod_python, python-ldap und SSL/TLS
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1
Hallo,
nun muss ich doch tatsachlich auch mal eine Frage stellen und bin mir
direkt nicht sicher, ob ich da hier richtig bin. Ist vielleicht etwas zu
speziell, aber ich hoffe, es gibt hier ein paar Leute, die mein Hirn
erhellen koennen.
Folgendes Problem:
Ich habe ein kleines Python-Script geschrieben, dass u.a. einen
SSL-Connect auf den LDAP-Server und dann ein simple_bind versucht.
import ldap
connect = ldap.initialize(ldaps://127.0.0.1:636)
user = blahbla
pass = geheim
connect.simple_bind(user, pass)
connect.unbind()
Das laesst sich nun als beliebiger User prima ausfuehren und gibt das
gewuenschte Ergebniss.
Nur wenn ich das Ganze unter mod_python im Web ausfuehre, Bringt er mir
einen TLS Negotiation failure. (so das log vom slapd). Ohne TLS
funktioniert es auch da prima, aber ich moechte nun einmal eine
verschluesselte Verbindung, die ja sonst auch ueberall prima funktioniert.
Das ist das Log auf apache (PythonDebug On)
File test.py, line 52, in change_ldap
connect.simple_bind(user, old_pw)
File /usr/lib/python2.4/site-packages/ldap/ldapobject.py, line 169, in
simple_bind
return
self._ldap_call(self._l.simple_bind,who,cred,EncodeControlTuples(serverctrls),EncodeControlTuples(clientctrls))
File /usr/lib/python2.4/site-packages/ldap/ldapobject.py, line 94, in
_ldap_call
result = func(*args,**kwargs)
SERVER_DOWN: {'info': 'error:140740BF:SSL routines:SSL23_CLIENT_HELLO:no
protocols available', 'desc': Can't contact LDAP server}
Ist das ein Bug/Feature? Oder uebersehe ich einfach irgendwas?
Ach so, die mod_python Einbindung:
IfModule mod_mime.c
AddHandler mod_python .py
/IfModule
PythonHandler mod_python.publisher
PythonDebug On
TIA, MfG Jan
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.5 (GNU/Linux)
iD8DBQFFBYa0ZRp6KEAo/3oRAggsAKCF8Kq5FVZYAUNP6B79TQAIz8KXfACfcDaJ
Otmpg4L7GWfAAdBIf8Fa0D0=
=ljj/
-END PGP SIGNATURE-
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: SSL-Zert. generieren - nicht interaktiv
Hallo Michelino, * Michelino Caroselli schrieb [09-09-06 07:48]: Du suchst 'openssl ca -batch -passin file:pathname ...' (aus der manpage;)? Da hast du Recht. Funktioniert jetzt auch. Aber das -batch findet sich in meiner man nicht? Mit freundlichen Grüßen Udo Müller -- ComputerService Udo Müller Tel.: 0441-36167578 Schöllkrautweg 16 Fax.: 0441-36167579 26135 Oldenburg [EMAIL PROTECTED] Mobil: 0162-4365411 signature.asc Description: Digital signature
Re: SSL-Zert. generieren - nicht interaktiv
Udo Mueller wrote: * Michelino Caroselli schrieb [09-09-06 07:48]: Du suchst 'openssl ca -batch -passin file:pathname ...' (aus der manpage;)? Da hast du Recht. Funktioniert jetzt auch. Aber das -batch findet sich in meiner man nicht? Die openssl- Kommandos haben eigene manpages. -batch ist in 'man ca' beschrieben. Tip: dpkg -L 'paketname' | grep man zeigt dir welche. HTH und Gruß, Michel -- Klingon function calls do not have 'parameters' -- they have 'arguments' -- and they ALWAYS WIN THEM. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
SSL-Zert. generieren - nicht interaktiv
Hallo, ich möchte gerne SSL-Client Zertifikate nicht interaktiv generieren. Das Ganze soll über eine Weboberfläche (PHP) bedient werden. Meine bisherigen Tests a la $ echo common name ... | openssl ... schlugen leider fehl. Mit den Leerzeilen will ich openssl einfache ENTER vorgaukeln. 1. Der Schlüssel der CA ist mit einem Passwort versehen 2. Ich brauche unterschiedliche Common names Letzteres wird in der Weboberfläche vorgegeben. Hat jemand Ideen zur Umsetzung? Mit freundlichen Grüßen Udo Müller -- ComputerService Udo Müller Tel.: 0441-36167578 Schöllkrautweg 16 Fax.: 0441-36167579 26135 Oldenburg [EMAIL PROTECTED] Mobil: 0162-4365411 signature.asc Description: Digital signature
Re: SSL-Zert. generieren - nicht interaktiv
Udo Mueller wrote: ich möchte gerne SSL-Client Zertifikate nicht interaktiv generieren. Das Ganze soll über eine Weboberfläche (PHP) bedient werden. [...] schlugen leider fehl. Mit den Leerzeilen will ich openssl einfache ENTER vorgaukeln. 1. Der Schlüssel der CA ist mit einem Passwort versehen 2. Ich brauche unterschiedliche Common names Letzteres wird in der Weboberfläche vorgegeben. Hat jemand Ideen zur Umsetzung? Du suchst 'openssl ca -batch -passin file:pathname ...' (aus der manpage;)? HTH und Gruß, Michel -- Aus Murphy's Gesetze: Dein eigenes Auto braucht immer mehr Öl und Benzin als das anderer Leute. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Courier pop3-ssl
Am Montag, 28. August 2006 20:19 schrieb Andreas Hergesell: Hallo zusammen, Ich habe auf einem Sarge-Server Courier laufen. Damit die Passwörter nur verschlüsselt übertragen werden, habe ich POP3_TLS_REQUIRED=1 in /etc/courier/pop3d-ssl gesetzt. Mit Kmail habe ich keine Probleme, Thunderbird hingegen quittiert meinen Versuch mit TLS required to log in. Benutzt wirklich niemand courier-pop3d-ssl? Denn so wie er in Sarge ist, ist er doch unbrauchbar. Es tauchen bei diesem Versuch _keine_ Logmeldungen in /v/l/mail.info auf. Nach ein wenig Suchen mit Google fand ich folgenden Bug: http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=284327 Leider hilft mir das nicht weiter. Die dort angegebene Init-Skript Änderung habe ich natürlich durchgeführt, leider hilft es bei mir nicht... Niemand eine Idee? Ratlose Grüße Andreas
Re: Courier pop3-ssl
On Wed, 30 Aug 2006 12:04:10 +0200 Andreas Hergesell [EMAIL PROTECTED] wrote: Am Montag, 28. August 2006 20:19 schrieb Andreas Hergesell: Hallo zusammen, Ich habe auf einem Sarge-Server Courier laufen. Damit die Passwörter nur verschlüsselt übertragen werden, habe ich POP3_TLS_REQUIRED=1 in /etc/courier/pop3d-ssl gesetzt. Mit Kmail habe ich keine Probleme, Thunderbird hingegen quittiert meinen Versuch mit TLS required to log in. Benutzt wirklich niemand courier-pop3d-ssl? Denn so wie er in Sarge ist, ist er doch unbrauchbar. Nein, ich benutze courier-imap-ssl aus Sarge ;-) Aber mal eine Grundsätzliche Frage: wozu erzwingst du TLS, wenn die Verbindung doch eh schon per SSL verschlüsselt ist. IMHO entweder TLS oder SSL - beides ist doppelt gemoppelt. Gruß Evgeni
Re: Courier pop3-ssl
Hi Evgeni, Am Mittwoch, 30. August 2006 12:11 schrieb Evgeni Golov: On Wed, 30 Aug 2006 12:04:10 +0200 Andreas Hergesell [EMAIL PROTECTED] wrote: Am Montag, 28. August 2006 20:19 schrieb Andreas Hergesell: Hallo zusammen, Ich habe auf einem Sarge-Server Courier laufen. Damit die Passwörter nur verschlüsselt übertragen werden, habe ich POP3_TLS_REQUIRED=1 in /etc/courier/pop3d-ssl gesetzt. Mit Kmail habe ich keine Probleme, Thunderbird hingegen quittiert meinen Versuch mit TLS required to log in. Benutzt wirklich niemand courier-pop3d-ssl? Denn so wie er in Sarge ist, ist er doch unbrauchbar. Nein, ich benutze courier-imap-ssl aus Sarge ;-) :-) Aber mal eine Grundsätzliche Frage: wozu erzwingst du TLS, wenn die Verbindung doch eh schon per SSL verschlüsselt ist. IMHO entweder TLS oder SSL - beides ist doppelt gemoppelt. Das ist ja, soweit ich das verstanden habe, genau das Problem. Obwohl die Verbindung von Anfang an TLS-verschlüsselt ist, erwartet courier ein erneutes Start-tls. Nicht nur sinnfrei, sondern auch tötlich, denn Mozilla sendet dies (natürlich) nicht und bricht dann ab. Gruß Evgeni Viele Grüße Andreas
Re: Courier pop3-ssl
On Wed, 30 Aug 2006 12:25:59 +0200 Andreas Hergesell [EMAIL PROTECTED] wrote: Aber mal eine Grundsätzliche Frage: wozu erzwingst du TLS, wenn die Verbindung doch eh schon per SSL verschlüsselt ist. IMHO entweder TLS oder SSL - beides ist doppelt gemoppelt. Das ist ja, soweit ich das verstanden habe, genau das Problem. Obwohl die Verbindung von Anfang an TLS-verschlüsselt ist, erwartet courier ein erneutes Start-tls. Nicht nur sinnfrei, sondern auch tötlich, denn Mozilla sendet dies (natürlich) nicht und bricht dann ab. Dann mach doch das POP3_TLS_REQUIRED aus ;-) Also in der conf mein ich jetzt - oder hilft das nicht? Hab den Bugreports nicht ganz gelesen.
Re: Courier pop3-ssl
Am Mittwoch, 30. August 2006 13:34 schrieb Evgeni Golov: On Wed, 30 Aug 2006 12:25:59 +0200 Andreas Hergesell [EMAIL PROTECTED] wrote: Aber mal eine Grundsätzliche Frage: wozu erzwingst du TLS, wenn die Verbindung doch eh schon per SSL verschlüsselt ist. IMHO entweder TLS oder SSL - beides ist doppelt gemoppelt. Das ist ja, soweit ich das verstanden habe, genau das Problem. Obwohl die Verbindung von Anfang an TLS-verschlüsselt ist, erwartet courier ein erneutes Start-tls. Nicht nur sinnfrei, sondern auch tötlich, denn Mozilla sendet dies (natürlich) nicht und bricht dann ab. Dann mach doch das POP3_TLS_REQUIRED aus ;-) Naja, ich würde aber eben gerne meine User zwingen über SSL zu poppen. Also in der conf mein ich jetzt - oder hilft das nicht? Hab den Bugreports nicht ganz gelesen. Klar, ohne Verschlüsselung gehts, also über Port 110 und Passwort in Klartext übers Netz. Aber auch ohne POP3_TLS_REQUIRED ist eine Verbindung zu Port 995 nicht möglich. Meine Konfiguration sieht so aus: [14:14]server:/etc/courier# grep -v # pop3d PIDFILE=/var/run/courier/pop3d.pid MAXDAEMONS=40 MAXPERIP=10 AUTHMODULES=authdaemon AUTHMODULES_ORIG=authdaemon DEBUG_LOGIN=0 POP3AUTH=LOGIN PLAIN CRAM-MD5 CRAM-SHA1 POP3AUTH_ORIG=LOGIN PLAIN CRAM-MD5 CRAM-SHA1 POP3AUTH_TLS=LOGIN PLAIN CRAM-MD5 CRAM-SHA1 POP3AUTH_TLS_ORIG=LOGIN PLAIN CRAM-MD5 CRAM-SHA1 PORT=110 ADDRESS=0 TCPDOPTS=-nodnslookup -noidentlookup POP3DSTART=YES MAILDIRPATH=Maildir [14:14]server:/etc/courier# grep -v # pop3d-ssl SSLPORT=995 SSLADDRESS=0 SSLPIDFILE=/var/run/courier/pop3d-ssl.pid POP3DSSLSTART=YES POP3_STARTTLS=YES POP3_TLS_REQUIRED=0 COURIERTLS=/usr/bin/couriertls TLS_PROTOCOL=SSL3 TLS_STARTTLS_PROTOCOL=TLS1 TLS_CERTFILE=/etc/courier/pop3d.pem TLS_VERIFYPEER=NONE TLS_CACHEFILE=/var/lib/courier/couriersslcache TLS_CACHESIZE=524288 MAILDIRPATH=Maildir Irgendwie klappts nicht :-( Vielen Dank für deine Hilfe schonmal! Andreas
Re: Courier pop3-ssl
On Wed, 30 Aug 2006 14:20:20 +0200 Andreas Hergesell [EMAIL PROTECTED] wrote: Am Mittwoch, 30. August 2006 13:34 schrieb Evgeni Golov: On Wed, 30 Aug 2006 12:25:59 +0200 Andreas Hergesell [EMAIL PROTECTED] wrote: Aber mal eine Grundsätzliche Frage: wozu erzwingst du TLS, wenn die Verbindung doch eh schon per SSL verschlüsselt ist. IMHO entweder TLS oder SSL - beides ist doppelt gemoppelt. Das ist ja, soweit ich das verstanden habe, genau das Problem. Obwohl die Verbindung von Anfang an TLS-verschlüsselt ist, erwartet courier ein erneutes Start-tls. Nicht nur sinnfrei, sondern auch tötlich, denn Mozilla sendet dies (natürlich) nicht und bricht dann ab. Dann mach doch das POP3_TLS_REQUIRED aus ;-) Naja, ich würde aber eben gerne meine User zwingen über SSL zu poppen. [ ] du hast das Manual gelesen ;-) Wenn du deine User zum ssl-poppen (perverse Sache das) zwingen willst, starte courier-pop3 nicht, sondern nur courier-pop3-ssl. Dann können die nicht mehr auf Port 110 verbinden, sondern nur auf 995, und da ist SSL Pflicht - mit TLS hat das an der Stelle nichts zu tun. Also in der conf mein ich jetzt - oder hilft das nicht? Hab den Bugreports nicht ganz gelesen. Klar, ohne Verschlüsselung gehts, also über Port 110 und Passwort in Klartext übers Netz. Aber auch ohne POP3_TLS_REQUIRED ist eine Verbindung zu Port 995 nicht möglich. Hast du denn deinen Client auch drauf angewiesen, explizit SSL zu nutzen? Den meisten muss man das unter androhung der Deinstallation erklären, weil die das sonst ned raffen ;-) Probier mal bitte folgendes: # openssl s_client -host dein.mail.de -port 995 Kommt da als letzte Zeile +OK Hello there. ? Hier tut das nämlich und ich kann mich per SSL einloggen. Meine Konfiguration sieht so aus: [14:14]server:/etc/courier# grep -v # pop3d PIDFILE=/var/run/courier/pop3d.pid MAXDAEMONS=40 MAXPERIP=10 AUTHMODULES=authdaemon AUTHMODULES_ORIG=authdaemon DEBUG_LOGIN=0 POP3AUTH=LOGIN PLAIN CRAM-MD5 CRAM-SHA1 POP3AUTH_ORIG=LOGIN PLAIN CRAM-MD5 CRAM-SHA1 POP3AUTH_TLS=LOGIN PLAIN CRAM-MD5 CRAM-SHA1 POP3AUTH_TLS_ORIG=LOGIN PLAIN CRAM-MD5 CRAM-SHA1 PORT=110 ADDRESS=0 TCPDOPTS=-nodnslookup -noidentlookup POP3DSTART=YES ^^^ NO # du willst ja SSL-only MAILDIRPATH=Maildir [14:14]server:/etc/courier# grep -v # pop3d-ssl SSLPORT=995 SSLADDRESS=0 SSLPIDFILE=/var/run/courier/pop3d-ssl.pid POP3DSSLSTART=YES POP3_STARTTLS=YES POP3_TLS_REQUIRED=0 COURIERTLS=/usr/bin/couriertls TLS_PROTOCOL=SSL3 TLS_STARTTLS_PROTOCOL=TLS1 TLS_CERTFILE=/etc/courier/pop3d.pem TLS_VERIFYPEER=NONE TLS_CACHEFILE=/var/lib/courier/couriersslcache TLS_CACHESIZE=524288 MAILDIRPATH=Maildir Sieht bei mir so aus: prefix=/usr exec_prefix=/usr SSLPORT=995 SSLADDRESS=meine.ip SSLPIDFILE=/var/run/courier/pop3d-ssl.pid POP3DSSLSTART=YES POP3_TLS_REQUIRED=0 COURIERTLS=/usr/bin/couriertls TLS_PROTOCOL=SSL3 TLS_STARTTLS_PROTOCOL=TLS1 TLS_CERTFILE=/etc/courier/pop3d.pem TLS_VERIFYPEER=NONE Irgendwie klappts nicht :-( Hier schon ;-) Gruß
Re: Courier pop3-ssl
Am Mittwoch, 30. August 2006 14:37 schrieb Evgeni Golov: On Wed, 30 Aug 2006 14:20:20 +0200 Andreas Hergesell Dann mach doch das POP3_TLS_REQUIRED aus ;-) Naja, ich würde aber eben gerne meine User zwingen über SSL zu poppen. [ ] du hast das Manual gelesen ;-) Hmm, doch. Sowas mache ich immer zuerst, aber da ist mir wohl was durchgegangen. Werde ich mir nochmal zu Gemüte führen. Wenn du deine User zum ssl-poppen (perverse Sache das) zwingen Safety first! :-) willst, starte courier-pop3 nicht, sondern nur courier-pop3-ssl. Dann können die nicht mehr auf Port 110 verbinden, sondern nur auf 995, und da ist SSL Pflicht - mit TLS hat das an der Stelle nichts zu tun. Ich dachte die wären voneinander abhängig, also ohne pop kein pop-ssl und wenn POP3_TLS_REQUIRED gesetzt ist bekäme man bei einem Versuch auf 110 ein Login_disabled. Hast du denn deinen Client auch drauf angewiesen, explizit SSL zu nutzen? Den meisten muss man das unter androhung der Deinstallation erklären, weil die das sonst ned raffen ;-) Naja, das Häkchen Use secure connection (SSL) ist gesetzt. Und dann wird der Port automatisch auf 995 geändert. Mit Kmail geht es wohl auch nicht. Kmail versuchte es auf Port 110. Und da gings. Auf 995 gehts auch nicht. Probier mal bitte folgendes: # openssl s_client -host dein.mail.de -port 995 Kommt da als letzte Zeile +OK Hello there. ? Ja. [schnipp] +OK Hello there. CAPA +OK Here's what I can do: SASL LOGIN PLAIN CRAM-MD5 CRAM-SHA1 STLS TOP USER LOGIN-DELAY 10 PIPELINING UIDL IMPLEMENTATION Courier Mail Server . USER -ERR TLS required to log in. quit +OK Better luck next time. closed Hier tut das nämlich und ich kann mich per SSL einloggen. Meine Konfiguration sieht so aus: [14:14]server:/etc/courier# grep -v # pop3d PIDFILE=/var/run/courier/pop3d.pid MAXDAEMONS=40 MAXPERIP=10 AUTHMODULES=authdaemon AUTHMODULES_ORIG=authdaemon DEBUG_LOGIN=0 POP3AUTH=LOGIN PLAIN CRAM-MD5 CRAM-SHA1 POP3AUTH_ORIG=LOGIN PLAIN CRAM-MD5 CRAM-SHA1 POP3AUTH_TLS=LOGIN PLAIN CRAM-MD5 CRAM-SHA1 POP3AUTH_TLS_ORIG=LOGIN PLAIN CRAM-MD5 CRAM-SHA1 PORT=110 ADDRESS=0 TCPDOPTS=-nodnslookup -noidentlookup POP3DSTART=YES ^^^ NO # du willst ja SSL-only Da das im Moment ja noch nicht klappt, brauche ich den pop3d schon. MAILDIRPATH=Maildir [14:14]server:/etc/courier# grep -v # pop3d-ssl SSLPORT=995 SSLADDRESS=0 SSLPIDFILE=/var/run/courier/pop3d-ssl.pid POP3DSSLSTART=YES POP3_STARTTLS=YES POP3_TLS_REQUIRED=0 COURIERTLS=/usr/bin/couriertls TLS_PROTOCOL=SSL3 TLS_STARTTLS_PROTOCOL=TLS1 TLS_CERTFILE=/etc/courier/pop3d.pem TLS_VERIFYPEER=NONE TLS_CACHEFILE=/var/lib/courier/couriersslcache TLS_CACHESIZE=524288 MAILDIRPATH=Maildir Sieht bei mir so aus: prefix=/usr exec_prefix=/usr SSLPORT=995 SSLADDRESS=meine.ip SSLPIDFILE=/var/run/courier/pop3d-ssl.pid POP3DSSLSTART=YES Bei dir fehlt POP3_STARTTLS=YES. Wenn ich das bei mir rausnehme ändert sich leider nix. POP3_TLS_REQUIRED=0 COURIERTLS=/usr/bin/couriertls TLS_PROTOCOL=SSL3 TLS_STARTTLS_PROTOCOL=TLS1 TLS_CERTFILE=/etc/courier/pop3d.pem TLS_VERIFYPEER=NONE Irgendwie klappts nicht :-( Hier schon ;-) Er fragt also nicht nach einem zusätzlichen STLS? Gruß Viele Grüße Andreas
Re: Courier pop3-ssl
On Wed, 30 Aug 2006 15:44:02 +0200 Andreas Hergesell [EMAIL PROTECTED] wrote: Wenn du deine User zum ssl-poppen (perverse Sache das) zwingen Safety first! :-) Ich meinte eher das Wort - pop3s ist schon okay. willst, starte courier-pop3 nicht, sondern nur courier-pop3-ssl. Dann können die nicht mehr auf Port 110 verbinden, sondern nur auf 995, und da ist SSL Pflicht - mit TLS hat das an der Stelle nichts zu tun. Ich dachte die wären voneinander abhängig, also ohne pop kein pop-ssl und wenn POP3_TLS_REQUIRED gesetzt ist bekäme man bei einem Versuch auf 110 ein Login_disabled. Aha? Sowas nie probiert ;-) Aber du solltest den pop3-ssl ohne pop3 starten können. Hast du denn deinen Client auch drauf angewiesen, explizit SSL zu nutzen? Den meisten muss man das unter androhung der Deinstallation erklären, weil die das sonst ned raffen ;-) Naja, das Häkchen Use secure connection (SSL) ist gesetzt. Und dann wird der Port automatisch auf 995 geändert. Mit Kmail geht es wohl auch nicht. Kmail versuchte es auf Port 110. Und da gings. Auf 995 gehts auch nicht. Dann ist bei dir etwas kaputt [tm]. Auf 995 muss plain-SSL ohne TLS gehen. Auf 110 muss plain oder mit TLS gehen. Probier mal bitte folgendes: # openssl s_client -host dein.mail.de -port 995 Kommt da als letzte Zeile +OK Hello there. ? Ja. [schnipp] +OK Hello there. CAPA +OK Here's what I can do: SASL LOGIN PLAIN CRAM-MD5 CRAM-SHA1 STLS kommt hier nicht TOP USER LOGIN-DELAY 10 PIPELINING UIDL IMPLEMENTATION Courier Mail Server . USER -ERR TLS required to log in. Hier: $ openssl s_client -host pop3.die-welt.net -port 995 CONNECTED(0003) [ Cert Kram und so... ] --- +OK Hello there. USER [EMAIL PROTECTED] +OK Password required. PASS password +OK logged in. [14:14]server:/etc/courier# grep -v # pop3d-ssl SSLPORT=995 SSLADDRESS=0 SSLPIDFILE=/var/run/courier/pop3d-ssl.pid POP3DSSLSTART=YES POP3_STARTTLS=YES POP3_TLS_REQUIRED=0 COURIERTLS=/usr/bin/couriertls TLS_PROTOCOL=SSL3 TLS_STARTTLS_PROTOCOL=TLS1 TLS_CERTFILE=/etc/courier/pop3d.pem TLS_VERIFYPEER=NONE TLS_CACHEFILE=/var/lib/courier/couriersslcache TLS_CACHESIZE=524288 MAILDIRPATH=Maildir Sieht bei mir so aus: prefix=/usr exec_prefix=/usr SSLPORT=995 SSLADDRESS=meine.ip SSLPIDFILE=/var/run/courier/pop3d-ssl.pid POP3DSSLSTART=YES Bei dir fehlt POP3_STARTTLS=YES. Wenn ich das bei mir rausnehme ändert sich leider nix. Was mich an folgendes erinnert: das init-Script vom imap-ssl ist dermaßen broken, dass ein 'restart' nix macht und der Server entsprechend die conf ned neu liest. Explizites stop und dann start geht wunderbar... Ob das beim pop3-sll auch so ist? Nach einem Blick in das Script: ja es ist :( Hier schon ;-) Er fragt also nicht nach einem zusätzlichen STLS? Wie oben gezeigt: nein tut er nicht. Probier mal die Sache mit stop start... Sollte helfen.
Re: Courier pop3-ssl
On Wed, 30 Aug 2006 15:44:02 +0200, Andreas Hergesell wrote Am Mittwoch, 30. August 2006 14:37 schrieb Evgeni Golov: Hast du denn deinen Client auch drauf angewiesen, explizit SSL zu nutzen? Den meisten muss man das unter androhung der Deinstallation erklären, weil die das sonst ned raffen ;-) Naja, das Häkchen Use secure connection (SSL) ist gesetzt. Und dann wird der Port automatisch auf 995 geändert. Mit Kmail geht es wohl auch nicht. Kmail versuchte es auf Port 110. Und da gings. Auf 995 gehts auch nicht. Das ist aber kein Fehler in KMail, sondern in Thunderbird. POP3 over SSL auf Port 995 ist wie IMAP over SSL auf Port 993 und SMTP over SSL 465 *uralt*. Die neuen Varianten (sind auch schon ein paar Jaehrchen alt) nutzen TLS auf *demselben* Port wie die unverschluesselte Variante (naemlich 110, 143 und 25). Die verschluesselte Verbindung wird dabei dann eben ueber ein starttls geregelt. Nur haben das die Thunderbird-Entwickler irgendwie noch nicht geschnallt... Ich kann nur hoffen das das nicht solange dauert, wie die Geschichte mit der Maillinglistenunterstuetzung. ;) P.S.: Wobei du natuerlich KMail auch sagen kannst, es soll auf Port 995 ueber SSL die Nachrichten holen. :-P -- MfG Jan Open WebMail Project (http://openwebmail.org) -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Courier pop3-ssl
Am Mittwoch, 30. August 2006 16:04 schrieb Evgeni Golov:
On Wed, 30 Aug 2006 15:44:02 +0200 Andreas Hergesell
Mit Kmail geht es wohl auch nicht. Kmail versuchte es auf Port
110. Und da gings. Auf 995 gehts auch nicht.
Dann ist bei dir etwas kaputt [tm].
Auf 995 muss plain-SSL ohne TLS gehen.
Auf 110 muss plain oder mit TLS gehen.
BTW: Ist TLS nicht gleich SSLv3 ?
Probier mal bitte folgendes:
# openssl s_client -host dein.mail.de -port 995
Kommt da als letzte Zeile +OK Hello there. ?
Ja.
[schnipp]
+OK Hello there.
CAPA
+OK Here's what I can do:
SASL LOGIN PLAIN CRAM-MD5 CRAM-SHA1
STLS
kommt hier nicht
TOP
USER
LOGIN-DELAY 10
PIPELINING
UIDL
IMPLEMENTATION Courier Mail Server
.
USER
-ERR TLS required to log in.
[14:14]server:/etc/courier# grep -v # pop3d-ssl
SSLPORT=995
SSLADDRESS=0
SSLPIDFILE=/var/run/courier/pop3d-ssl.pid
POP3DSSLSTART=YES
POP3_STARTTLS=YES
POP3_TLS_REQUIRED=0
COURIERTLS=/usr/bin/couriertls
TLS_PROTOCOL=SSL3
TLS_STARTTLS_PROTOCOL=TLS1
TLS_CERTFILE=/etc/courier/pop3d.pem
TLS_VERIFYPEER=NONE
TLS_CACHEFILE=/var/lib/courier/couriersslcache
TLS_CACHESIZE=524288
MAILDIRPATH=Maildir
Sieht bei mir so aus:
prefix=/usr
exec_prefix=/usr
SSLPORT=995
SSLADDRESS=meine.ip
SSLPIDFILE=/var/run/courier/pop3d-ssl.pid
POP3DSSLSTART=YES
Bei dir fehlt POP3_STARTTLS=YES.
Wenn ich das bei mir rausnehme ändert sich leider nix.
Wenn man restart benutzt...
Was mich an folgendes erinnert:
das init-Script vom imap-ssl ist dermaßen broken, dass ein
'restart' nix macht und der Server entsprechend die conf ned neu
liest. Explizites stop und dann start geht wunderbar...
Ob das beim pop3-sll auch so ist?
Nach einem Blick in das Script: ja es ist :(
Oh ja ist es!
Hier schon ;-)
Er fragt also nicht nach einem zusätzlichen STLS?
Wie oben gezeigt: nein tut er nicht.
Probier mal die Sache mit stop start... Sollte helfen.
In der Tat! Nach einem stop start kommt folgendes:
+OK Hello there.
CAPA
+OK Here's what I can do:
SASL LOGIN PLAIN CRAM-MD5 CRAM-SHA1
TOP
USER
LOGIN-DELAY 10
PIPELINING
UIDL
IMPLEMENTATION Courier Mail Server
.
USER
-ERR Invalid command.
Ein Login mit KMail/Mozilla via 995 funktioniert nun einwandfrei.
Ein herzliches Dankeschön an dich!
Andreas
Re: Courier pop3-ssl
Hallo Jan, Am Mittwoch, 30. August 2006 16:16 schrieb Jan Kohnert: On Wed, 30 Aug 2006 15:44:02 +0200, Andreas Hergesell wrote Am Mittwoch, 30. August 2006 14:37 schrieb Evgeni Golov: Hast du denn deinen Client auch drauf angewiesen, explizit SSL zu nutzen? Den meisten muss man das unter androhung der Deinstallation erklären, weil die das sonst ned raffen ;-) Naja, das Häkchen Use secure connection (SSL) ist gesetzt. Und dann wird der Port automatisch auf 995 geändert. Mit Kmail geht es wohl auch nicht. Kmail versuchte es auf Port 110. Und da gings. Auf 995 gehts auch nicht. Das ist aber kein Fehler in KMail, sondern in Thunderbird. Weder noch, denn keines der beiden kann auf 995 noch ein starttls ausführen. Ist ja auch logisch, nur haben Änderungen in den Konfigurationsdateien keine Auswirkung wenn man /etc/init.d/courier-pop-ssl restart ausführt. Erst ein stop und anschließendes start liest die Configs neu ein. Ziemlich ärgerlicher Bug! POP3 over SSL auf Port 995 ist wie IMAP over SSL auf Port 993 und SMTP over SSL 465 *uralt*. Die neuen Varianten (sind auch schon ein paar Jaehrchen alt) nutzen TLS auf *demselben* Port wie die unverschluesselte Variante (naemlich 110, 143 und 25). Die verschluesselte Verbindung wird dabei dann eben ueber ein starttls geregelt. Deshalb hat es mit Kmail auch funktioniert. (Nur habe ich nicht auf den Port geachtet, und deshalb hat Kmail über Port 110 erfolgreich Emails abrufen können.) Nur haben das die Thunderbird-Entwickler irgendwie noch nicht geschnallt... Ich kann nur hoffen das das nicht solange dauert, wie die Geschichte mit der Maillinglistenunterstuetzung. ;) Wohl wahr. P.S.: Wobei du natuerlich KMail auch sagen kannst, es soll auf Port 995 ueber SSL die Nachrichten holen. :-P Das ist jetzt egal :-) -- MfG Jan Viele Grüße Andreas
Re: courier-imapd-ssl auf falschem Port
Ist jetzt als Bug 385006 in der Datenbank. http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=385006 Andre -- BOFH-excuse of the day: Power Company having EMP problems with their reactor -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Courier pop3-ssl
Hallo zusammen, Ich habe auf einem Sarge-Server Courier laufen. Damit die Passwörter nur verschlüsselt übertragen werden, habe ich POP3_TLS_REQUIRED=1 in /etc/courier/pop3d-ssl gesetzt. Mit Kmail habe ich keine Probleme, Thunderbird hingegen quittiert meinen Versuch mit TLS required to log in. Es tauchen bei diesem Versuch _keine_ Logmeldungen in /v/l/mail.info auf. Nach ein wenig Suchen mit Google fand ich folgenden Bug: http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=284327 Leider hilft mir das nicht weiter. Wer kann mir helfen, auch mit Mozilla meine Emails verschlüsselt abzurufen? Andreas
courier-imapd-ssl auf falschem Port
Hallo Liste, ich hatte das Problem, dass mein courier-imapd-ssl nach einem Upgrade (debian SID) vor einiger Zeit nicht mehr lief. Heute habe ich mich mal ans Debugging gesetzt und bin auf folgendes gestossen: In der /etc/courier/imapd-ssl steht der Port, der benutzt werden soll: 993. Der Dienst lief aber auf Port 585, das hat mein Evolution natürlich nicht erwartet. Es lag an meiner modifizierten /etc/services. Dort war folgendes eingetragen: imap4-ssl 585/tcp IMAP4+SSL (use 993 instead) imap4-ssl 585/udp IMAP4+SSL (use 993 instead) imaps 993/udp imap4 protocol over TLS/SSL imaps 993/tcp imap4 protocol over TLS/SSL Nachdem ich die beiden Zeilen mit imap4-ssl rausgenommen habe, lief der Dienst wieder auf 993. Jetzt kommt die Frage: wieso wurde der Dienst auf 585 gestartet, obwohl explizit 993 in der Konfigurationsdatei angegeben war? Ist das ein Bug im Paket oder so gewollt? Greetz, Andre -- BOFH-excuse of the day: Change in Earth's rotational speed
Re: archivemail und IMAP SSL
Hallo Joerg! Joerg Lange schrieb am Sonntag, den 13. August 2006: ich versuche mit archivemail auf meinen IMAP Server draufzukommen. Ich habe nur IMAP SSL aktiv, also nur Port 993. Bei Google und auf der manpage hab ich nix gefunden. $ archivemail -V archivemail v0.6.1 AFAIK kann Archivemail noch nicht so lange imaps: ,[ head /usr/share/doc/archivemail/changelog ]- | Version 0.6.2 - 27 June 2006 |* add -F/--filter-append option to append an arbitrary string to the IMAP | filter string |* don't delete more than a certain number of messages at a time. The max | command len is limited. Fixes bug 942403 (Archiving large IMAP folders fails) |* add SSL support per imaps URL (after patch by Tobias Gruetzmacher) |* add -P/--pwfile option to supply the IMAP password, so it does not end up in | the shell history |* Fix SyntaxWarning: assignment to None (bug #843890) |* Use the archive cut date rather than the actual time with the --suffix | option. (Thanks Manuel Estrada Sainz) ` Any ideas? Auf localhost IMAP anbieten und per ssh tunneln? Grüße, Christian -- Hinter jeder Frau im Nerz steht eine andere, die darüber witzelt, wo sie ihn her hat. -- Inge Meysel
Re: archivemail und IMAP SSL
Hallo Christian, Christian Brabandt, 14.08.2006 (d.m.y): Joerg Lange schrieb am Sonntag, den 13. August 2006: Any ideas? Auf localhost IMAP anbieten und per ssh tunneln? Oder alternativ mit stunnel arbeiten. Gruss, Christian Schmidt -- Aber: Ein ungeschlachter Schlagbaum vor dem Tore der Erwartung. -- Ludiwg Bechstein (Arabesken) signature.asc Description: Digital signature
archivemail und IMAP SSL
Hi, ich versuche mit archivemail auf meinen IMAP Server draufzukommen. Ich habe nur IMAP SSL aktiv, also nur Port 993. Wie kann ich darauf mit archivemail zugreifen? Test1: $archivemail imap://user:[EMAIL PROTECTED]/INBOX -- socket.error: (111, 'Connection refused') (Das ist okay) Test2: $archivemail imap://user:[EMAIL PROTECTED]:imaps/INBOX -- socket.gaierror: (-2, 'Name or service not known') Test3: $archivemail imap://user:[EMAIL PROTECTED]:993/INBOX -- socket.gaierror: (-2, 'Name or service not known') Bei Google und auf der manpage hab ich nix gefunden. $ archivemail -Varchivemail v0.6.1 (debian stable) Any ideas?
Re: archivemail und IMAP SSL
Am 13.08.2006 um 19:58 schrieb Joerg Lange: Hi, ich versuche mit archivemail auf meinen IMAP Server draufzukommen. Ich habe nur IMAP SSL aktiv, also nur Port 993. kann dein archivmail überhaupt imaps? http://sourceforge.net/tracker/index.php? func=detailaid=892813group_id=49630atid=456912 ttyl8er, t.k. smime.p7s Description: S/MIME cryptographic signature
Re: Apache-ssl und subdomains
Hallo, Martin Reising [EMAIL PROTECTED] schrieb: Kurzum: Für jede Domain muss ein eigenes SSL-Zertifkat erstellt und benutzt werden. In der Theorie, aber http://wiki.cacert.org/wiki/VhostTaskForce?highlight=%28vhost%29 erklärt wie man mehr als eine Domain in einem SSL-Zertifikat unterbringt und liefert die passenden Scripte gleich mit. Danke für die Antworten. Ich werde es entweder so machen oder einfach redirects von normalen subdomains auf https://domain.net/ordner/ setzen, das reicht eigentlich auch zu. Daniel -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Apache-ssl und subdomains
On Fri, Jun 30, 2006 at 12:30:26AM +0200, Dejan Milosavljevic wrote: Kurzum: Für jede Domain muss ein eigenes SSL-Zertifkat erstellt und benutzt werden. In der Theorie, aber http://wiki.cacert.org/wiki/VhostTaskForce?highlight=%28vhost%29 erklärt wie man mehr als eine Domain in einem SSL-Zertifikat unterbringt und liefert die passenden Scripte gleich mit. -- Nicht Absicht unterstellen, wenn auch Dummheit ausreicht! pgp85d4dM99MS.pgp Description: PGP signature
Apache-ssl und subdomains
Hallo, ich versuche gerade, mit meinem apache-ssl Subdomains hinzubekommen. Er sagt allerdings in der Log: [crit] Attempt to reinitialise SSL for server x.org Mein Ziel ist folgendes. Wenn ich im Browser die Adresse foo.domain123.org eingebe, möchte ich, dass er zu SSL wechselt, also zu: https://foo.domain123.org Das erreiche ich mit (oder lief zumindest mit der kompletten Domain bisher so, dh. ALLES wurde auf SSL geschickt): VirtualHost *:80 ServerName foo.domain123.org Redirect permanent / https://foo.domain123.org/ /VirtualHost Wenn ich aber foo2.domain123.org eingebe, möchte ich, dass er nicht zu SSL wechselt. Kurz um, ich möchte mit einer Domain, einer IP und einem SSL-Zertifikat gemischte Subdomains und Ordner entweder mit oder ohne SSL laufen lassen - ist das so überhaupt möglich? Was will er mir mit der Fehlermeldung sagen? Daniel -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
SSL-Problem mit Courier
Hallo! Seit einiger Zeit erhalte ich folgende Fehlermeldung im mail.info-Log wenn ich versuche mit Thunderbird mein IMAP-Postfach abzurufen: imaplogin: couriertls: connect: error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number Diverse Hints aus dem Netz meinen, ich soll doch mal /etc/courier/imapd-ssl auf folgende Inhalte kontrollieren: TLS_PROTOCOL=SSL3 TLS_STARTTLS_PROTOCOL=TLS1 Da diese Werte bei mir eingetragen sind, und der Login schon tadellos geklappt hatte, frag ich mich was da los sein kann. Habt Ihr Ideen? LG, Martin -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: SSL-Problem mit Courier
On Thu, 29 Jun 2006 16:43:53 +0200 Martin Müller - Rudolf Hausstein OHG [EMAIL PROTECTED] wrote: Seit einiger Zeit erhalte ich folgende Fehlermeldung im mail.info-Log wenn ich versuche mit Thunderbird mein IMAP-Postfach abzurufen: imaplogin: couriertls: connect: error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number Diverse Hints aus dem Netz meinen, ich soll doch mal /etc/courier/imapd-ssl auf folgende Inhalte kontrollieren: TLS_PROTOCOL=SSL3 TLS_STARTTLS_PROTOCOL=TLS1 Da diese Werte bei mir eingetragen sind, und der Login schon tadellos geklappt hatte, frag ich mich was da los sein kann. Hast du zum gleichen Thema meine Mail an diese Liste gelesen? Subject: courier-imap-ssl nach dem letzten security Update kaputt? Message-ID: [EMAIL PROTECTED] Date: Mon, 26 Jun 2006 08:02:29 +0200 Ich musste ein explizites stop/start machen, danach lief es...
Re: Apache-ssl und subdomains
Daniel Schulz schrieb: Hallo, ich versuche gerade, mit meinem apache-ssl Subdomains hinzubekommen. Er sagt allerdings in der Log: [crit] Attempt to reinitialise SSL for server x.org Mein Ziel ist folgendes. Wenn ich im Browser die Adresse foo.domain123.org eingebe, möchte ich, dass er zu SSL wechselt, also zu: https://foo.domain123.org Das erreiche ich mit (oder lief zumindest mit der kompletten Domain bisher so, dh. ALLES wurde auf SSL geschickt): VirtualHost *:80 ServerName foo.domain123.org Redirect permanent / https://foo.domain123.org/ /VirtualHost Wenn ich aber foo2.domain123.org eingebe, möchte ich, dass er nicht zu SSL wechselt. Kurz um, ich möchte mit einer Domain, einer IP und einem SSL-Zertifikat gemischte Subdomains und Ordner entweder mit oder ohne SSL laufen lassen - ist das so überhaupt möglich? Was will er mir mit der Fehlermeldung sagen? Daniel Hallo Daniel, denk daran, daß ein SSL-Zertifikat immer nur für eine Domain gültig ist, das ist in der Regel die Domain, die im CN (Common Name) des SSL-Zertifikats angegeben ist. Wenn im CN des Zertifikats z.B. foo.domain123.org angegeben ist, wirst Du nur auf genau diese eine Domain per HTTPS zugreifen können. Für foo2.domain123.org wirst Du ein eigenes SSL-Zertifikat benötigen. Kurzum: Für jede Domain muss ein eigenes SSL-Zertifkat erstellt und benutzt werden. Gruß Dejan -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
courier-imap-ssl nach dem letzten security Update kaputt?
Morgens, ich hab gestern Abend das Update auf 3.0.8-4sarge5 vollzogen und seit dem kann ich keine IMAPS Verbindungen über Port 993 aufbauen. POP3S über Port 995 geht wunderbar, genauso IMAP über 143 mit STARTTLS. Im Log vom courier sehe ich bei Verbindungsversuch folgende Meldung: imapd-ssl: couriertls: accept: error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number Laut Tante Gurgel, soll ich gucken, dass die folgende Werte in /e/c/imapd-ssl auf ihren defaults sind: TLS_PROTOCOL=SSL3 TLS_STARTTLS_PROTOCOL=TLS1 Was sie leider auch sind, und es geht trotzdem nicht :( Mir ist da folgendes noch aufgefallen: openssl s_client -connect IP:995 - POP3S - funktioniert tadellos openssl s_client -connect IP:993 - IMAPS - funktioniert nicht, openssl sagt write:errno=104 openssl s_client -tsl1 -connect IP:993 - IMAPS mit TLS1 Zwang - funktioniert... openssl s_client -ssl3 -connect IP:993 - IMAPS mit SSLv3 Zwang - funktioniert nicht, Meldung: 5284:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:s3_pkt.c:1057:SSL alert number 40 5284:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:534: Es scheint also, als ob der auf Port 993 nicht selber weiß, mit welchem Protokoll er arbeiten soll, auf 995 aber schon... Kann da jemand ein bisschen Licht ins Dunkle bringen? Ich komm nicht weiter, sowohl Zertifikat als auch Config sollten 100% i.O. sein... -- ^^^| Evgeni -SargentD- Golov ([EMAIL PROTECTED]) d(O_o)b | PGP-Key-ID: 0xAC15B50C -|- | WWW: http://www.die-welt.net ICQ: 54116744 / \| IRC: #sod @ irc.german-freakz.net Fuer windows hab keine Zeit weil wenn ich nachhause komm will ich lieber poppen und nich noch mein OS reparieren (Therion - german-freakz.net) pgptoGh1tlKeK.pgp Description: PGP signature
[SOLVED] courier-imap-ssl nach dem letzten security Update kaputt?
On Mon, 26 Jun 2006 08:02:29 +0200 Evgeni Golov [EMAIL PROTECTED] wrote: ich hab gestern Abend das Update auf 3.0.8-4sarge5 vollzogen und seit dem kann ich keine IMAPS Verbindungen über Port 993 aufbauen. POP3S über Port 995 geht wunderbar, genauso IMAP über 143 mit STARTTLS. Im Log vom courier sehe ich bei Verbindungsversuch folgende Meldung: imapd-ssl: couriertls: accept: error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number Laut Tante Gurgel, soll ich gucken, dass die folgende Werte in /e/c/imapd-ssl auf ihren defaults sind: TLS_PROTOCOL=SSL3 TLS_STARTTLS_PROTOCOL=TLS1 Was sie leider auch sind, und es geht trotzdem nicht :( Naja, waren nicht, aber sind mittlerweile. Allerdings hat courier-imap-ssl die conf nicht neugeladen /etc/init.d/courier-imap-ssl restart funktioniert leider nicht (Bug #310131). Mit stop start gehts dann. Ich könnt kotzen. Vorallem weil der Bug schon seit über einem Jahr bekannt ist...
SSL-/TLS-Zertifkate mit qualifizierter Signatur unterschreiben
Guten Morgen :-) Nachdem ich schon in einschlägigen Foren nachgefragt habe und auch Google keine Antwort liefert, möchte ich kurzerhand auf die geballte Ladung Wissen dieser Maillist zurückgreifen: Hat jemand eine Idee, ob man SSL/TLS-Zertifikate mit einer qualifizierten Signatur (gem. SignaturG) unterschreiben kann? Ich hab ein, zwei Einsatzbereiche wo ich nicht auf SSL-Zertifikate verzichten möchte sich aber die Investition in ein richtiges sich nicht lohnt. Deshalb bin ich auf die Idee gekommen. Hat das vielleicht sogar schon jemand gemacht? Danke schon mal im Voraus! #Hannes#
Re: SSL-/TLS-Zertifkate mit qualifizierter Signatur unterschreiben
Am Dienstag 30 Mai 2006 08:51 schrieb Hannes H.: Hat jemand eine Idee, ob man SSL/TLS-Zertifikate mit einer qualifizierten Signatur (gem. SignaturG) unterschreiben kann? Wieso nicht? Ob das dann aber was bringt hängt davon ab ob der Browser das prüfen kann. Ich vermute aber mal das den meisten Browsern üblicherweise die passenden Zertifikate fehlen. Ich hab ein, zwei Einsatzbereiche wo ich nicht auf SSL-Zertifikate verzichten möchte sich aber die Investition in ein richtiges sich nicht lohnt. Was ist denn ein richtiges? Schau Dir evtl. mal www.cacert.org an. Gruß Chris -- A: because it distrupts the normal process of thought Q: why is top posting frowned upon
Re: SSL-/TLS-Zertifkate mit qualifizierter Signatur unterschreiben
Am 30.05.06 schrieb Christian Frommeyer [EMAIL PROTECTED]: Wieso nicht? Ob das dann aber was bringt hängt davon ab ob der Browser das prüfen kann. Ich vermute aber mal das den meisten Browsern üblicherweise die passenden Zertifikate fehlen. Abgesehen davon, dass ich noch immer die Hoffnung habe, dass das Stamm-Zertifikat für die Qualifizierten Signaturen in die Browser übernommen werden möchte ich den Usern ganz einfach die Möglichkeit geben die Unterschrift mittels Fingerprint zu überprüfen - wenn es denen ein Anliegen ist. Was ist denn ein richtiges? Schau Dir evtl. mal www.cacert.org an. Zum beispiel eines von VeriSign für das man - zumindest als ich das letze Mal nagsehen hab - fast 900 Euro bezahlt. #Hannes#
Re: SSL-/TLS-Zertifkate mit qualifizierter Signatur unterschreiben
Hi, Hannes H. wrote: Am 30.05.06 schrieb Christian Frommeyer [EMAIL PROTECTED]: [..] Abgesehen davon, dass ich noch immer die Hoffnung habe, dass das Stamm-Zertifikat für die Qualifizierten Signaturen in die Browser übernommen werden möchte ich den Usern ganz einfach die Möglichkeit geben die Unterschrift mittels Fingerprint zu überprüfen - wenn es denen ein Anliegen ist. Was ist denn ein richtiges? Schau Dir evtl. mal www.cacert.org an. Zum beispiel eines von VeriSign für das man - zumindest als ich das letze Mal nagsehen hab - fast 900 Euro bezahlt. Was ist denn an cacert-Zertifikaten nicht richtig (ausser das sie kein Geld kosten)? -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: SSL-/TLS-Zertifkate mit qualifizierter Signatur unterschreiben
Hannes H. schrieb: Zum beispiel eines von VeriSign für das man - zumindest als ich das letze Mal nagsehen hab - fast 900 Euro bezahlt. Falls es einfach nur darum geht, dass keine Meldung beim Browser kommt, es gibt Zertifikate, deren Stammzertifikat in jedem Browser drin ist, ab 70(?) Euro. MfG Til PS: Kannst auch gerne ne PM schicken -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: SSL-/TLS-Zertifkate mit qualifizierter Signatur unterschreiben
Am 30.05.06 schrieb Joerg Zimmermann [EMAIL PROTECTED]: [..] Was ist denn an cacert-Zertifikaten nicht richtig (ausser das sie kein Geld kosten)? [..] Bis gerade eben wusste ich garnicht, dass es sowas gibt ;-) Falls es einfach nur darum geht, dass keine Meldung beim Browser kommt, es gibt Zertifikate, deren Stammzertifikat in jedem Browser drin ist, ab 70(?) Euro. Auch wenn mir das eigentlich egal ist - wo gibt's die? Und was ist der Unterschied zu 900 Euro-Dingern? #Hannes# -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: SSL-/TLS-Zertifkate mit qualifizierter Signatur unterschreiben
Hannes H. schrieb: Auch wenn mir das eigentlich egal ist - wo gibt's die? Und was ist der Unterschied zu 900 Euro-Dingern? Der Hauptunterschied ist der Grad der Überprüfung der angegebenen Daten und die Höhe der Versicherungssumme, falls die Daten doch nicht stimmen. Solche Zertifikate gibt es bei diversen Resellern, z.B. bei mir ;) MfG Til -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: SSL-/TLS-Zertifkate mit qualifizierter Signatur unterschreiben
Am 30.05.06 schrieb Ulf Leichsenring [EMAIL PROTECTED]: [..] [..] Jeder Browser, der SSL/TLS korrekt implementiert hat, muss ein so unterschriebenes Server-Zertifikat als ungültig und nicht vertrauenswürdig zurückweisen. Das natürlich. Aber könnte ein User - wenn ich den Fingerprint von meinem Zertifikat veröffentliche - kontrollieren ob das ICH unterschrieben hab. Und wenn er aTrust vertraut, dann vertraut er auch darauf, dass ich es bin. Oder hab ich einen Denkfehler? #Hannes#
Re: SSL-/TLS-Zertifkate mit qualifizierter Signatur unterschreiben
Am Dienstag 30 Mai 2006 13:43 schrieb Hannes H.: Das natürlich. Aber könnte ein User - wenn ich den Fingerprint von meinem Zertifikat veröffentliche - kontrollieren ob das ICH unterschrieben hab. Und wenn er aTrust vertraut, dann vertraut er auch darauf, dass ich es bin. Oder hab ich einen Denkfehler? Im Prinzip ja. Aber ich kenne keinen der sowas macht. Die meisten Leute klicken einfach auf OK, Ignorieren oder was sonst so angeboten wird. Gruß Chris -- A: because it distrupts the normal process of thought Q: why is top posting frowned upon
Re: ftpclient mit ssl-Unterstuetzung
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 stefan wrote: Hallo, http://kasablanca.berlios.de/ Kasablanca tut recht gut, auch ohne Abstürze bisher. Allerdings imho keine 64bit .debs (selber gebaut hab ich) und die Weiterentwicklung ist imho auch etwas schleppend. Und die Queue Verwaltung ist nicht optimal. KFTPGrabber sieht auch nett aus, stürzt aber leider öfter mal ab. Gruß Stefan MfG, Lars Schimmer - -- - - TU Graz, Institut für ComputerGraphik WissensVisualisierung Tel: +43 316 873-5405 E-Mail: [EMAIL PROTECTED] Fax: +43 316 873-5402 PGP-Key-ID: 0x4A9B1723 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.1 (GNU/Linux) Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org iD8DBQFEcXFpmWhuE0qbFyMRAqP6AJ4uKmmLB5KgGlrciudik9uPbpQkqQCgkHAc XYuAVc7hh2OqrVL25qZSF9M= =miPK -END PGP SIGNATURE- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
ftpclient mit ssl-Unterstuetzung
Hallo, kennt jemand einen einen ftp client mit GUI, der FTP via SSL unterstuetzt? Ich habe in dieser Hinsicht nur das kommerzielle Programm IglooFTP Pro gefunden. Filezilla gibt es als nightly build f. Linux, allerdings crasht es mit einer solchen Freude, sodass ich mir nicht vorstellen kann, das damit hinzubekommen zu koennen (die normale Winversion klappt bei ftp/ssl aber wunderbar). Danke fuer Tipps [ +das rege feedback zum kpgp thread seinerzeit] lg, -- ### # # # # wolfgang # # # #friedl -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ftpclient mit ssl-Unterstuetzung
Hallo, http://kasablanca.berlios.de/ Gruß Stefan Hallo, kennt jemand einen einen ftp client mit GUI, der FTP via SSL unterstuetzt? Ich habe in dieser Hinsicht nur das kommerzielle Programm IglooFTP Pro gefunden. Filezilla gibt es als nightly build f. Linux, allerdings crasht es mit einer solchen Freude, sodass ich mir nicht vorstellen kann, das damit hinzubekommen zu koennen (die normale Winversion klappt bei ftp/ssl aber wunderbar). Danke fuer Tipps [ +das rege feedback zum kpgp thread seinerzeit] lg, -- ### # # # # wolfgang # # # #friedl pgpeNGkx6rhPy.pgp Description: PGP signature
Re: jabberd und ssl support
Servus Frank, Frank Terbeck wrote: Claus Malter sprayen.de: Aber Sourcen scheinen keine vorhanden zu sein (apt-get source jabber). Hat zwar mit deinem eigentlichen Problem nichts zu tun, aber das sollte funktionieren, wenn man passende deb-src Zeilen in seiner 'sources.list' hat. Hier funktioniert es wie erwartet. deb-src http://security.debian.org/ stable/updates main contrib non-free # apt-get source jabber Reading Package Lists... Done Building Dependency Tree... Done E: Unable to find a source package for jabber Gruss, Frank Claus -- Claus Malter debian sprayen dot de GnuPG-ID: 0x08B86210 http://wwwkeys.de.pgp.net Blog: http://claus.freakempire.de/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: jabberd und ssl support
Danke, Claus Malter wrote: [...] Meine Frage ist jetzt, wie ich heraus finden kann, ob das Debian Paket von jabber mit SSL Support kompiliert wurde. apt-cache show jabberd da müsste dann bei Depends irgendwo libssl stehen, oder ldd /usr/sbin/jabberd ausprobieren und schauen ob dort libssl* libraries verwendet werden. Wenn nicht, dann ist kein SSL support dabei. jabberd ist mit den SSL libaries verlinkt. Dann frage ich mich wirklich wieso die SSL Verbindung nicht geht. Wie gesagt, jabberd lauscht nicht auf dem SSL Port (mit netstat und nmap) geprüft. [...] Auszuüge aus der jabber.xml: ssl port='5223'192.168.100.250/ssl ssl key ip='192.168.100.250'/etc/jabber/server.pem/key /ssl Im Debug Modus als auch in den Log-Dateien gibt es keine Anzeichen oder Anhaltspunkte, wieso der SSL Support nicht funktioniert. Tja das Problem war schlichtweg, dass ich nicht bemerkt habe, dass in der jabber.xml der Teil mit dem SSL-Port auskommentiert ist mit den berühmten !-- --. Da es weiter oben und unterhalb der nötigen Einstellung war, habe ich es nicht gesehen. Dumm von mir, deswegen gleich die ML zu nerven. Vielen Dank für Eure Hilfe, Claus -- Claus Malter debian sprayen dot de GnuPG-ID: 0x08B86210 http://wwwkeys.de.pgp.net Blog: http://claus.freakempire.de/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: jabberd und ssl support
Claus Malter [EMAIL PROTECTED]: Frank Terbeck wrote: Claus Malter sprayen.de: Aber Sourcen scheinen keine vorhanden zu sein (apt-get source jabber). Hat zwar mit deinem eigentlichen Problem nichts zu tun, aber das sollte funktionieren, wenn man passende deb-src Zeilen in seiner 'sources.list' hat. Hier funktioniert es wie erwartet. deb-src http://security.debian.org/ stable/updates main contrib non-free # apt-get source jabber E: Unable to find a source package for jabber Tag Klaus, Ist das die einzige 'deb-src' Zeile? Also nur die zu 'stable/updates'? Versuch mal: deb-src http://ftp.de.debian.org/debian stable main contrib non-free Gruss, Frank -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: jabberd und ssl support
Hallo Frank, Frank Terbeck wrote: Claus Malter sprayen.de: Aber Sourcen scheinen keine vorhanden zu sein (apt-get source jabber). Hat zwar mit deinem eigentlichen Problem nichts zu tun, aber das sollte funktionieren, wenn man passende deb-src Zeilen in seiner 'sources.list' hat. Hier funktioniert es wie erwartet. deb-src http://security.debian.org/ stable/updates main contrib non-free # apt-get source jabber E: Unable to find a source package for jabber Tag Klaus, Ceh-Laus bitte ;) Ist das die einzige 'deb-src' Zeile? Also nur die zu 'stable/updates'? Versuch mal: deb-src http://ftp.de.debian.org/debian stable main contrib non-free Meine geistige Leistung heute Morgen lässt zu wünschen übrig =) Mit der von Dir geschrieben Zeile geht es natürlich. Ist ja klar, dass er auf dem security Server nicht das Gesuchte findet. Gruss, Frank Claus -- Claus Malter debian sprayen dot de GnuPG-ID: 0x08B86210 http://wwwkeys.de.pgp.net Blog: http://claus.freakempire.de/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
jabberd und ssl support
Hallo, ich bin gerade dabei den jabber daemon unter Debian Sarge zu testen. Er funktioniert soweit. Jedoch scheiter ich am SSL Support. Ich habe die Konfigurationsdateien angepasst und auch ein PEM-Zertifikat erstellt. Jedoch lauscht der jabberd nicht auf dem SSL Port (5223). Jetzt habe ich versucht heraus zu finden, ob der jabberd mit SSL Support kompiliert wurde. Aber Sourcen scheinen keine vorhanden zu sein (apt-get source jabber). Meine Frage ist jetzt, wie ich heraus finden kann, ob das Debian Paket von jabber mit SSL Support kompiliert wurde. Mit freundlichen Grüßen, Claus -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: jabberd und ssl support
On Thu, May 11, 2006 at 10:51:39AM +0200, Claus Malter wrote: ich bin gerade dabei den jabber daemon unter Debian Sarge zu testen. Er funktioniert soweit. Jedoch scheiter ich am SSL Support. Ich habe die Konfigurationsdateien angepasst und auch ein PEM-Zertifikat erstellt. Jedoch lauscht der jabberd nicht auf dem SSL Port (5223). Jetzt habe ich versucht heraus zu finden, ob der jabberd mit SSL Support kompiliert wurde. Aber Sourcen scheinen keine vorhanden zu sein (apt-get source jabber). Meine Frage ist jetzt, wie ich heraus finden kann, ob das Debian Paket von jabber mit SSL Support kompiliert wurde. apt-cache show jabberd da müsste dann bei Depends irgendwo libssl stehen, oder ldd /usr/sbin/jabberd ausprobieren und schauen ob dort libssl* libraries verwendet werden. Wenn nicht, dann ist kein SSL support dabei. -- LuMriX.net GmbH http://www.lumrix.net -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: jabberd und ssl support
Danke Joerg, Joerg Rieger wrote: On Thu, May 11, 2006 at 10:51:39AM +0200, Claus Malter wrote: ich bin gerade dabei den jabber daemon unter Debian Sarge zu testen. Er funktioniert soweit. Jedoch scheiter ich am SSL Support. Ich habe die Konfigurationsdateien angepasst und auch ein PEM-Zertifikat erstellt. Jedoch lauscht der jabberd nicht auf dem SSL Port (5223). [...] Meine Frage ist jetzt, wie ich heraus finden kann, ob das Debian Paket von jabber mit SSL Support kompiliert wurde. apt-cache show jabberd da müsste dann bei Depends irgendwo libssl stehen, oder ldd /usr/sbin/jabberd ausprobieren und schauen ob dort libssl* libraries verwendet werden. Wenn nicht, dann ist kein SSL support dabei. jabberd ist mit den SSL libaries verlinkt. Dann frage ich mich wirklich wieso die SSL Verbindung nicht geht. Wie gesagt, jabberd lauscht nicht auf dem SSL Port (mit netstat und nmap) geprüft. Mein Vorgehen: Ich habe jabber und jabber-common mit apt-get installiert und die Konfigurationsdateien angepasst. Eine Verbindung auf den Standardport 5222 funktioniert und ich kann meinen Nick registrieren. Nun habe ich in der Konfiguration die hinweise aufgenommen, dass man nur IP Adressen bei der SSL-Konfiguration verwenden darf. So habe ich nun die jabber.xml angepasst und ein PEM-Zertifikat mit der IP als Common Name. Auszuüge aus der jabber.xml: ssl port='5223'192.168.100.250/ssl ssl key ip='192.168.100.250'/etc/jabber/server.pem/key /ssl Im Debug Modus als auch in den Log-Dateien gibt es keine Anzeichen oder Anhaltspunkte, wieso der SSL Support nicht funktioniert. Vielen Dank für Eure Hilfe, Claus -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: jabberd und ssl support
Claus Malter [EMAIL PROTECTED]: Aber Sourcen scheinen keine vorhanden zu sein (apt-get source jabber). Hat zwar mit deinem eigentlichen Problem nichts zu tun, aber das sollte funktionieren, wenn man passende deb-src Zeilen in seiner 'sources.list' hat. Hier funktioniert es wie erwartet. Gruss, Frank -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: jabberd und ssl support
hallo Claus, --- Ursprüngliche Nachricht --- Datum: 11.05.2006 11:53 Von: Claus Malter [EMAIL PROTECTED] Danke Joerg, Joerg Rieger wrote: On Thu, May 11, 2006 at 10:51:39AM +0200, Claus Malter wrote: ich bin gerade dabei den jabber daemon unter Debian Sarge zu testen. Er funktioniert soweit. Jedoch scheiter ich am SSL Support. Ich habe die Konfigurationsdateien angepasst und auch ein PEM-Zertifikat erstellt. Jedoch lauscht der jabberd nicht auf dem SSL Port (5223). [...] Meine Frage ist jetzt, wie ich heraus finden kann, ob das Debian Paket von jabber mit SSL Support kompiliert wurde. apt-cache show jabberd da müsste dann bei Depends irgendwo libssl stehen, oder ldd /usr/sbin/jabberd ausprobieren und schauen ob dort libssl* libraries verwendet werden. Wenn nicht, dann ist kein SSL support dabei. jabberd ist mit den SSL libaries verlinkt. Dann frage ich mich wirklich wieso die SSL Verbindung nicht geht. Wie gesagt, jabberd lauscht nicht auf dem SSL Port (mit netstat und nmap) geprüft. Mein Vorgehen: Ich habe jabber und jabber-common mit apt-get installiert und die Konfigurationsdateien angepasst. Eine Verbindung auf den Standardport 5222 funktioniert und ich kann meinen Nick registrieren. Nun habe ich in der Konfiguration die hinweise aufgenommen, dass man nur IP Adressen bei der SSL-Konfiguration verwenden darf. So habe ich nun die jabber.xml angepasst und ein PEM-Zertifikat mit der IP als Common Name. habe zwar noch nie mit JAbber zu tun gehabt, aber sind die entsprechenden Einträge in der /etc/services vorhanden? ---snip--- # Jabber Ports jabc5222/tcp # Unencrypted jabber client-to-server jabc-ssl5223/tcp # SSL encrypted jabber client-to-server jabs2s 5269/tcp # Jabber server-to-server ---snap--- hth Reinhold
Re: jabberd und ssl support
Moin, On Thu, May 11, 2006 at 10:51:39AM +0200, Claus Malter wrote: Hallo, ich bin gerade dabei den jabber daemon unter Debian Sarge zu testen. Er funktioniert soweit. Jedoch scheiter ich am SSL Support. Ich habe die Konfigurationsdateien angepasst und auch ein PEM-Zertifikat erstellt. Jedoch lauscht der jabberd nicht auf dem SSL Port (5223). IIRC musst Du in c2s.xml ssl-port setzen. HTH Gruss -- hgb -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Apache2 und SSL Zertifikat
Guten nabend allerseits, ich habe den Apache2 mit SSL laufen, was auch wunderbar funzt. Nur musste ich nun ein neues Zertifikat beantragen, welches ich auch dem Apache bekannt gegeben habe. Leider wird mir, wenn ich nun die Site aufrufe immer noch das alte abgelaufene Zertifikat angezeigt. Muss ich da irgendwo einen Cache löschen, oder woran kann das liegen, das der Apache immer noch das alte Zertifikat ausliefert? -- Mit freundlichen Grüßen Stephan Weise
Re: Apache2 und SSL Zertifikat
Moin, On Wed, Apr 26, 2006 at 09:06:12PM +0200, Stephan Weise wrote: [...] Muss ich da irgendwo einen Cache löschen, oder woran kann das liegen, das der Apache immer noch das alte Zertifikat ausliefert? hast Du nach der Implementierung auch einen vollen restart von apache gemacht? Ein reload ist manchmal nicht genug ... Gruss -- hgb -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re[2]: Apache2 und SSL Zertifikat
Hi, Moin, On Wed, Apr 26, 2006 at 09:06:12PM +0200, Stephan Weise wrote: [...] Muss ich da irgendwo einen Cache löschen, oder woran kann das liegen, das der Apache immer noch das alte Zertifikat ausliefert? hast Du nach der Implementierung auch einen vollen restart von apache gemacht? Ein reload ist manchmal nicht genug ... Gruss -- hgb Ja hab den Apache reloadet, gestoppt und auch neu gestartet. Hilft alles nichts. Der bringt hartnäckig das alte Zertifikat. -- MFG Stephan
Re: Apache2 und SSL Zertifikat
Moin, bitte lass die PM weg, ich lese die Liste. On Wed, Apr 26, 2006 at 10:13:14PM +0200, Stephan Weise wrote: [...] Ja hab den Apache reloadet, gestoppt und auch neu gestartet. Hilft alles nichts. Der bringt hartnäckig das alte Zertifikat. Saemtliche Pfade in allen configs verweisen auf das neue Zertifikat? Saemtliche clients/threads sind down bevor Du neu startest? Gruss -- hgb -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
fetchmail ssl Probleme
Hallo Leute, seit neuestem habe ich Probleme von meinen email Accounts bei 11. Die emails werden abgeholt, aber in meiner mail.err gibt es die folgenden Fehlermeldungen : Mar 1 10:24:10 server fetchmail[3192]: Server certificate verification error: unable to get local issuer certificate Mar 1 10:24:10 server fetchmail[3192]: SSL connection failed. Mar 1 10:24:10 server fetchmail[3192]: socket error while fetching from [EMAIL PROTECTED] hier ein Auszug aus meiner fetchmailrc set daemon 900 set no bouncemail defaults: proto POP3 limit 2560 warnings 2048 antispam -1 sslcertpath /etc/ssl/certs set postmaster [EMAIL PROTECTED] ... poll pop.1und1.com with proto POP3 port 995 user password is admin fetchall ssl sslfingerprint 4F:30:39:95:62:85:07:54:BA:BC:EB:B3:D2:C2:36:F0 sslcertck Die Zertifizierung habe ich mir per openssl s_client -connect pop.1und1.com:995 -showcerts besorgt und anschließend mit c_rehash /etc/ssl/certs aufbereitet. Soweit meine Vorbereitungen, die Fehlermeldungen sind natürlich sehr unschön und ich möchte eine korrekte Konfiguration haben. Hat jemand eine Idee wo mein Fehler liegt ? MfG Ralph Ralph Stens email : [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [OT] Re: Java und SSL-Zertifikate
Hallo, Jan Luehr [EMAIL PROTECTED] schrieb: keytool -import -trustcacerts -file path_to_cer_file -keystore %JAVA_HOME%/jre/lib/security/cacerts -alias arbitrary_name Geht Anlog. Zum Abfragen der Zertifkats empfehle ich wie Christian OpenSSL. Hey, es klappt! Ich fass es nicht, super! :) Herzlichsten Dank für Eure schnelle und nette Hilfe, Daniel
Re: [OT] Re: Java und SSL-Zertifikate
Hallo Jan, Jan Luehr [EMAIL PROTECTED] schrieb: [...] Lösung vor: wenn selbst-signiert, dann muß man dieses Zert in Java übernehmen. Für den IE und Windows haben sie dazu auch eine Anleitung, doch für Linux ..? Die Anleitung sollte sich eigentlich mehr oder weniger 1:1 übertragen lassen. Wo genau hängst du? Wie exportiere ich mit Firefox 1.5 ein solches Zertifikat? In den Einstellungen finde ich dazu keine Option. Oder soll ich die server.crt und server.key direkt vom Server nehem? Die Anleitung: http://codex.gallery2.org/index.php/GalleryRemote:FAQ#Using_HTTPS ist halt schon recht Windows-spezifisch. Daniel
Re: [OT] Re: Java und SSL-Zertifikate
Am Donnerstag 26 Januar 2006 12:52 schrieb Daniel Schulz: Wie exportiere ich mit Firefox 1.5 ein solches Zertifikat? In den keine Ahnung. http://codex.gallery2.org/index.php/GalleryRemote:FAQ#Using_HTTPS ist halt schon recht Windows-spezifisch. Nur was das Beschaffen der Zertifikats angeht. Versuch mal was in der Art: openssl s_client -connect pop3.web.de:995 -showcerts Gruß Chris -- A: because it distrupts the normal process of thought Q: why is top posting frowned upon
Re: [OT] Re: Java und SSL-Zertifikate
ja hallo erstmal,... Am Donnerstag, 26. Januar 2006 12:52 schrieb Daniel Schulz: Hallo Jan, Jan Luehr [EMAIL PROTECTED] schrieb: [...] Lösung vor: wenn selbst-signiert, dann muß man dieses Zert in Java übernehmen. Für den IE und Windows haben sie dazu auch eine Anleitung, doch für Linux ..? Die Anleitung sollte sich eigentlich mehr oder weniger 1:1 übertragen lassen. Wo genau hängst du? Wie exportiere ich mit Firefox 1.5 ein solches Zertifikat? In den Einstellungen finde ich dazu keine Option. Oder soll ich die server.crt und server.key direkt vom Server nehem? Die Anleitung: http://codex.gallery2.org/index.php/GalleryRemote:FAQ#Using_HTTPS ist halt schon recht Windows-spezifisch. Naja, keytool -import -trustcacerts -file path_to_cer_file -keystore %JAVA_HOME%/jre/lib/security/cacerts -alias arbitrary_name Geht Anlog. Zum Abfragen der Zertifkats empfehle ich wie Christian OpenSSL. Keep smiling yanosz
Re: [OT] Re: Java und SSL-Zertifikate
ja hallo erstmal,... Naja, keytool -import -trustcacerts -file path_to_cer_file -keystore %JAVA_HOME%/jre/lib/security/cacerts -alias arbitrary_name Geht Anlog. Wobei du eigentlich auf die keystore angabe verzichten und den default-keystore nehmen können solltest. Keep smiling yanosz
Re: OpenVPN Verständnisfrage(n) [war: OpenVPN / SSL - Zertifikat-Problem]
Hi Martin, Ich habe OpenVPn jetzt so weit dass es beim Systemstart das tun-Kernelmodul automatisch mitlädt. ifconfig zeigt aber standardmäßig tap0 nicht an! Erst wenn ich mein Startscript starte, kommt tap0 zum Vorschein. Soll das so sein? Leider flusht mein Startscript die IP-Adresse des Interfaces eth0. Somit gehen natürlich alle Verbindungen des nach intern verloren! Es kann doch nicht sein, dass die IP-Adresse geflusht werden muss. Leider bin ich kompletter Neuling in Sachen VPN ... Leider gitbs im Netz kein HowTo für Bridging, es sind ausschließlich HowTos für Routing verfügbar ... Für Tipps und Tricks wäre ich sehr dankbar! Hier meine Konfig: eth0 192.168.100.99 eth1 öffentliche IP eth0 + eth1 sind physikalisch vorhanden Hier mein Startscript: #!/bin/bash # # Set up Ethernet bridge on Linux # Requires: bridge-utils # # Define Bridge Interface br=br0 # Define list of TAP interfaces to be bridged, # for example tap=tap0 tap1 tap2. tap=tap0 # Define physical ethernet interface to be bridged # with TAP interface(s) above. eth=eth0 eth_ip=192.168.100.99 eth_netmask=255.255.255.0 eth_broadcast=192.168.100.255 ifconfig $eth down for t in $tap; do openvpn --mktun --dev $t done brctl addbr $br brctl addif $br $eth for t in $tap; do brctl addif $br $t done for t in $tap; do ifconfig $t 0.0.0.0 promisc up done - Hmm, interessant wie du das machen willst. Aber mal eine Frage: zuwas brauchst du br0? Also wenn ich hier ein VPN aufsetze, dann genügt tap0 und dann wird schon gebridget. Fertig, obwohl du das Interface tap0 nicht in der ifconfig siehst funktioniert es wunderbar. Was ist denn das Ziel der ganzen Übung? Grüßle, Tobias -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Java und SSL-Zertifikate
Hallo, ich habe auf meinem Server Gallery2 aufgesetzt. Das benutzt ein Java-Applet, mit dem man Bilder ganz simpel in Gallery hochladen kann. Das ganze läuft über eine SSL-Verbindung mit einem selbst-signierten Zertifikat. So normal über den Browser kann ich mich in Gallery anmelden, alles tut wunderbar. Doch wenn ich versuche, mit dem Java-Applet Bilder hochzuladen, sagt er mir, geht nicht, kein gültiges Zertifikat. Toll, die Programmierer selbst scheinen das nicht als kritisch zu sehen bzw. geben sie nur eine Lösung vor: wenn selbst-signiert, dann muß man dieses Zert in Java übernehmen. Für den IE und Windows haben sie dazu auch eine Anleitung, doch für Linux ..? Ich hab in google gesucht, geguckt und gewühlt - aber bin genau so schlau wie vorher. Ich habe Java auf der Kiste hier selbst installiert, dh. nicht per apt-get. Wie kann ich da einfach das Zert ins Java übernehmen? Ist trotzdem eine doofe Lösung, da das ja dann jeder User machen muß der das Java-Applet nutzen will. Auf jedem PC neu... *grusel* Hat jemand eine Idee zur Lösung oder wie man es einfacher gestalten könnte? Daniel
[OT] Re: Java und SSL-Zertifikate
ja hallo erstmal,... Am Mittwoch, 25. Januar 2006 16:49 schrieb Daniel Schulz: Hallo, ich habe auf meinem Server Gallery2 aufgesetzt. Das benutzt ein Java-Applet, mit dem man Bilder ganz simpel in Gallery hochladen kann. Das ganze läuft über eine SSL-Verbindung mit einem selbst-signierten Zertifikat. So normal über den Browser kann ich mich in Gallery anmelden, alles tut wunderbar. Doch wenn ich versuche, mit dem Java-Applet Bilder hochzuladen, sagt er mir, geht nicht, kein gültiges Zertifikat. Toll, die Programmierer selbst scheinen das nicht als kritisch zu sehen bzw. geben sie nur eine Lösung vor: wenn selbst-signiert, dann muß man dieses Zert in Java übernehmen. Für den IE und Windows haben sie dazu auch eine Anleitung, doch für Linux ..? Die Anleitung sollte sich eigentlich mehr oder weniger 1:1 übertragen lassen. Wo genau hängst du? Keep smiling yanosz
Re: OpenVPN Verständnisfrage(n) [war: OpenVPN / SSL - Zertifikat-Problem]
Hallo Martin, Martin Müller - Rudolf Hausstein OHG wrote: Hallo! @Tobias: Erst mal vielen Dank für deine Hinweise! War sehr hilfreich. Ich habe OpenVPn jetzt so weit dass es beim Systemstart das tun-Kernelmodul automatisch mitlädt. ifconfig zeigt aber standardmäßig tap0 nicht an! nicht, dass ich scon mit OpenVPN gearbeitet habe, aber von Du das tap interface benötigst, warum dann das tun-modul laden? Erst wenn ich mein Startscript starte, kommt tap0 zum Vorschein. Soll das so sein? Leider flusht mein Startscript die IP-Adresse des Interfaces eth0. Somit gehen natürlich alle Verbindungen des nach intern verloren! Es kann doch nicht sein, dass die IP-Adresse geflusht werden muss. Leider bin ich kompletter Neuling in Sachen VPN ... Leider gitbs im Netz kein HowTo für Bridging, es sind ausschließlich HowTos für Routing verfügbar ... Zweiter Treffer bei google: http://www.shorewall.net/OPENVPN.html Dritter Treffer bei google: http://openvpn.net/bridge.html Für Tipps und Tricks wäre ich sehr dankbar! hth Reinhold -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: OpenVPN Verständnisfrage(n) [war: OpenVPN / SSL - Zertifikat-Problem]
Hallo! @Tobias: Erst mal vielen Dank für deine Hinweise! War sehr hilfreich. Ich habe OpenVPn jetzt so weit dass es beim Systemstart das tun-Kernelmodul automatisch mitlädt. ifconfig zeigt aber standardmäßig tap0 nicht an! Erst wenn ich mein Startscript starte, kommt tap0 zum Vorschein. Soll das so sein? Leider flusht mein Startscript die IP-Adresse des Interfaces eth0. Somit gehen natürlich alle Verbindungen des nach intern verloren! Es kann doch nicht sein, dass die IP-Adresse geflusht werden muss. Leider bin ich kompletter Neuling in Sachen VPN ... Leider gitbs im Netz kein HowTo für Bridging, es sind ausschließlich HowTos für Routing verfügbar ... Für Tipps und Tricks wäre ich sehr dankbar! Hier meine Konfig: eth0 192.168.100.99 eth1 öffentliche IP eth0 + eth1 sind physikalisch vorhanden Hier mein Startscript: #!/bin/bash # # Set up Ethernet bridge on Linux # Requires: bridge-utils # # Define Bridge Interface br=br0 # Define list of TAP interfaces to be bridged, # for example tap=tap0 tap1 tap2. tap=tap0 # Define physical ethernet interface to be bridged # with TAP interface(s) above. eth=eth0 eth_ip=192.168.100.99 eth_netmask=255.255.255.0 eth_broadcast=192.168.100.255 ifconfig $eth down for t in $tap; do openvpn --mktun --dev $t done brctl addbr $br brctl addif $br $eth for t in $tap; do brctl addif $br $t done for t in $tap; do ifconfig $t 0.0.0.0 promisc up done - Lg, Martin Tobias Krais schrieb: Hi Martin, Ich will den VPN-Server in Bridge-Modus betreiben. Die Konfigurationsdatei habe ich durch, das Kernelmodul tun geladen, der Server startet brav: Mon Jan 23 21:27:09 2006 Initialization Sequence Completed wenn du OpenVPN im Bridgemodus laufen hast, dann nimmt er nicht das tun Interface, sondern das tap interface. Dein tun wirst du lange suchen. Du hast natürlich recht. Der heutige Tag hat schon lange gedauert und ich bin da mit dem Modulnamen durcheinander gekommen. Natürlich mein ich TAP. Aber auch TAP kann ich nicht finden. ifconfig tap0 ist dein Freund. OpenVPN sagt dir beim starten, welches Interface er benutzt, z.B.: -%- Tue Jan 24 08:19:34 2006 TUN/TAP device tap0 opened -%- Allerdings wundere ich mich auch gerade, warum der nicht beim Befehl ifconfig angezeigt wird. Was könnte schuld daran haben. Und: Loggt OpenVPN wohin? In syslog ist nichts zu sehen. Siehe deine Server Config: -%- # By default, log messages will go to the syslog (or # on Windows, if running as a service, they will go to # the \Program Files\OpenVPN\log directory). # Use log or log-append to override this default. # log will truncate the log file on OpenVPN startup, # while log-append will append to it. Use one # or the other (but not both). ;log openvpn.log ;log-append openvpn.log # Set the appropriate level of log # file verbosity. # # 0 is silent, except for fatal errors # 4 is reasonable for general usage # 5 and 6 can help to debug connection problems # 9 is extremely verbose verb 3 -%- Ich hoffe das hilft dir weiter. Viel Erfolg noch. Grüssle, Tobias -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: OpenVPN Verständnisfrage(n) [war: OpenVPN / SSL - Zertifikat-Problem]
Reinhold Plew schrieb: Hallo Martin, Martin Müller - Rudolf Hausstein OHG wrote: Hallo! @Tobias: Erst mal vielen Dank für deine Hinweise! War sehr hilfreich. Ich habe OpenVPn jetzt so weit dass es beim Systemstart das tun-Kernelmodul automatisch mitlädt. ifconfig zeigt aber standardmäßig tap0 nicht an! nicht, dass ich scon mit OpenVPN gearbeitet habe, aber von Du das tap interface benötigst, warum dann das tun-modul laden? Das ist das Kernelmodul für VPN. Es nennt sich tun, beinhaltet aber beide Treiber für tun+tap. Leider gitbs im Netz kein HowTo für Bridging, es sind ausschließlich HowTos für Routing verfügbar ... Zweiter Treffer bei google: http://www.shorewall.net/OPENVPN.html Dritter Treffer bei google: http://openvpn.net/bridge.html Auf denen bin ich auch schon gewesen. Leider helfen mir die nicht weiter weil shorewall.net OpenVPN in Zusammenhang mit der Shorewall beschreibt. Die spielen sich gegenseitig in die Hände ... Der Dritte Treffer hilft auch nicht wirklich. In diesem Script wird eben das zu bridgende Interface geflusht und dann gehen die internen Verbindungen flöten. Leider ist nirgends dokumentiert _warum_ die Interfaces geflusht werden müssen und wie es auch ohne geht. Da bräuchte ich eben Nachhilfe ... LG, Martin -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
OpenVPN / SSL - Zertifikat-Problem
Hallo!
Ich habe ein Problem bei der Erstellung des Server-Zertifikats:
./build-key-server server
bringt die Fehlermeldung
Error Loading extension section server
- nun meint Google dazu, man solle doch einfach die Server-Extension
weg lassen.
Ok, ich habe das Script build-key-server entsprechend editiert und die
extension raus genommen.
Wenn ich jetzt das Zertifikat generieren will, erhalte ich folgende
Fehlermeldung:
Using configuration from /etc/ssl/openssl.cnf
Error opening CA private key ./demoCA/private/cakey.pem
25606:error:02001002:system library:fopen:No such file or
directory:bss_file.c:349:fopen('./demoCA/private/cakey.pem','r')
25606:error:20074002:BIO routines:FILE_CTRL:system lib:bss_file.c:351:
unable to load CA private key
Gut, ich habe in der openssl.cnf nun mein DefaultCA-Directory auf
/etc/ssl/ gesetzt und die CA-Files ca.crt und ca.key hinein kopiert.
Woher nehme ich aber jetzt das cakey.pem-File?
LG, Martin
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
OpenVPN Verständnisfrage(n) [war: OpenVPN / SSL - Zertifikat-Problem]
Hallo! Ich habe auf anderen Wegen meine Zertifikate erstellt. Habe auf die Automatismen gepfiffen und die Z zu Fuß generiert. Ich will den VPN-Server in Bridge-Modus betreiben. Die Konfigurationsdatei habe ich durch, das Kernelmodul tun geladen, der Server startet brav: Mon Jan 23 21:27:09 2006 Initialization Sequence Completed Muss ich tun in der Device-Liste von ifconfig sehen? Wenn nein, wie kann ich überprüfen ob tun up ist? Wenn ja, warum sehe ich es dann nicht? :-) Was kann das für Ursachen haben? Vielen Dank! Martin -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: OpenVPN Verständnisfrage(n) [war: OpenVPN / SSL - Zertifikat-Problem]
Hi Martin, Ich will den VPN-Server in Bridge-Modus betreiben. Die Konfigurationsdatei habe ich durch, das Kernelmodul tun geladen, der Server startet brav: Mon Jan 23 21:27:09 2006 Initialization Sequence Completed wenn du OpenVPN im Bridgemodus laufen hast, dann nimmt er nicht das tun Interface, sondern das tap interface. Dein tun wirst du lange suchen. Muss ich tun in der Device-Liste von ifconfig sehen? s.o. such mal nach deinem tap interface. Wenn nein, wie kann ich überprüfen ob tun up ist Wenn ja, warum sehe ich es dann nicht? :-) Was kann das für Ursachen haben? Weitere Fragen? Grüßle, Tobias -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: OpenVPN Verständnisfrage(n) [war: OpenVPN / SSL - Zertifikat-Problem]
Tobias Krais schrieb: Hi Martin, Ich will den VPN-Server in Bridge-Modus betreiben. Die Konfigurationsdatei habe ich durch, das Kernelmodul tun geladen, der Server startet brav: Mon Jan 23 21:27:09 2006 Initialization Sequence Completed wenn du OpenVPN im Bridgemodus laufen hast, dann nimmt er nicht das tun Interface, sondern das tap interface. Dein tun wirst du lange suchen. Du hast natürlich recht. Der heutige Tag hat schon lange gedauert und ich bin da mit dem Modulnamen durcheinander gekommen. Natürlich mein ich TAP. Aber auch TAP kann ich nicht finden. Was könnte schuld daran haben. Und: Loggt OpenVPN wohin? In syslog ist nichts zu sehen. Liebe Grüße, Martin -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: OpenVPN Verständnisfrage(n) [war: OpenVPN / SSL - Zertifikat-Problem]
Hi Martin, Ich will den VPN-Server in Bridge-Modus betreiben. Die Konfigurationsdatei habe ich durch, das Kernelmodul tun geladen, der Server startet brav: Mon Jan 23 21:27:09 2006 Initialization Sequence Completed wenn du OpenVPN im Bridgemodus laufen hast, dann nimmt er nicht das tun Interface, sondern das tap interface. Dein tun wirst du lange suchen. Du hast natürlich recht. Der heutige Tag hat schon lange gedauert und ich bin da mit dem Modulnamen durcheinander gekommen. Natürlich mein ich TAP. Aber auch TAP kann ich nicht finden. ifconfig tap0 ist dein Freund. OpenVPN sagt dir beim starten, welches Interface er benutzt, z.B.: -%- Tue Jan 24 08:19:34 2006 TUN/TAP device tap0 opened -%- Allerdings wundere ich mich auch gerade, warum der nicht beim Befehl ifconfig angezeigt wird. Was könnte schuld daran haben. Und: Loggt OpenVPN wohin? In syslog ist nichts zu sehen. Siehe deine Server Config: -%- # By default, log messages will go to the syslog (or # on Windows, if running as a service, they will go to # the \Program Files\OpenVPN\log directory). # Use log or log-append to override this default. # log will truncate the log file on OpenVPN startup, # while log-append will append to it. Use one # or the other (but not both). ;log openvpn.log ;log-append openvpn.log # Set the appropriate level of log # file verbosity. # # 0 is silent, except for fatal errors # 4 is reasonable for general usage # 5 and 6 can help to debug connection problems # 9 is extremely verbose verb 3 -%- Ich hoffe das hilft dir weiter. Viel Erfolg noch. Grüssle, Tobias -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [OT] Lebensdauer von ssl-Zertifikaten und openldap
Moin liebe Leute, eine kurze Verständnisfrage: Ich habe einige Zertifikate mit einer selbst ausgestellten CA signiert. Nun sehe ich gerade, dass die ausgestellten und signierten Zertifikate eine verbleibende Lebensdauer von noch mehr als einem Jahre haben, das Zertifikat der CA selbst aber demnächst abläuft. Die ldap-Clients sind so konfiguriert, dass sie mit Hilfe der cacert.pem der CA das Zertifikat des ldap-Servers prüfen. Welches Ablaufdatum ist jetzt für mich relevant: Das des signierten Zertifikats des ldap-Servers oder das des signierenden CA Zertifikats? Wäre Euch für einen erhellenden Tipp sehr dankbar, Steph. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
fetchmail 6.2.5.4-1 und SSL
Hallo Liste! Bei mir wurde gestern bei einem Upgrade fetchmail 6.2.5-18 auf 6.2.5.4-1 aktualisiert. Seitdem hat das Abfragen der POP3 Konten beim Server nicht mehr funktioniert. Anscheinend klappt die TLS negotiantion nicht mehr so wie früher. Weiss jemand, was sich da geändert hat und was man wo anpassen muss? Kann es sein, dass die Unterschiede im FQDN, die ja in beiden Fällen Warnungen produzieren, jetzt zu einem Abbruch führen? Grüße, Martin Anbei die syslog-Ausschnitte, zuerst mit dem (downgegradeten) fetchmail 6.2.5-12sarge3: 6.2.5 querying mail.meinserver.de (protocol POP3) at Tue Nov 22 11:03:37 2005: poll started POP3 +OK Dovecot ready. POP3 CAPA^M POP3 +OK POP3 CAPA POP3 TOP POP3 UIDL POP3 RESP-CODES POP3 PIPELINING POP3 STLS POP3 SASL POP3 . POP3 STLS^M POP3 +OK Begin TLS negotiation now. Issuer Organization: Dovecot mail server Issuer CommonName: name.vserver.de Server CommonName: name.vserver.de Server CommonName mismatch: name.vserver.de != mail.meinserver.de mail.meinserver.de key fingerprint: A9:77:08:C2:41:07:1D:D6:02:53:15:11:36:50:6D:D0 Warning: server certificate verification: self signed certificate Issuer Organization: Dovecot mail server Issuer CommonName: name.vserver.de Server CommonName: name.vserver.de Server CommonName mismatch: name.vserver.de != mail.meinserver.de Warning: server certificate verification: self signed certificate POP3 CAPA^M POP3 +OK POP3 CAPA POP3 TOP POP3 UIDL POP3 RESP-CODES POP3 PIPELINING POP3 USER POP3 SASL PLAIN POP3 . POP3 USER user^M POP3 +OK POP3 PASS *^M POP3 +OK Logged in. und jetzt der Ausschnitt mit fetchmail 6.2.5.4-1: 6.2.5.4 querying mail.meinserver.de (protocol POP3) at Tue Nov 22 11:08:42 2005: poll started POP3 +OK Dovecot ready. POP3 CAPA POP3 +OK POP3 CAPA POP3 TOP POP3 UIDL POP3 RESP-CODES POP3 PIPELINING POP3 STLS POP3 SASL POP3 . POP3 STLS POP3 +OK Begin TLS negotiation now. Issuer Organization: Dovecot mail server Issuer CommonName: name.vserver.de Server CommonName: name.vserver.de Server CommonName mismatch: name.vserver.de != mail.meinserver.de mail.meinserver.de key fingerprint: A9:77:08:C2:41:07:1D:D6:02:53:15:11:36:50:6D:D0 Warning: server certificate verification: self signed certificate Issuer Organization: Dovecot mail server Issuer CommonName: name.vserver.de Server CommonName: name.vserver.de Server CommonName mismatch: name.vserver.de != mail.meinserver.de Warning: server certificate verification: self signed certificate Repoll immediately on [EMAIL PROTECTED] POP3 +OK Dovecot ready. POP3 CAPA POP3 +OK POP3 CAPA POP3 TOP POP3 UIDL POP3 RESP-CODES POP3 PIPELINING POP3 STLS POP3 SASL POP3 . POP3 USER user POP3 -ERR Plaintext authentication disabled. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: fetchmail und ssl
Frank Dietrich wrote: ich habe versucht meinem fetchmail ssl beizubringen. Vorgegangen bin ich nach [1]. Leider meldet es beim abholen der Mail immer unable to geht local issuer certificate. Da ich auch mit Hilfe von $Suchmaschine nicht weiter gekommen bin. Hab ich es mal mit strace laufen lassen. c_rehash legt einen Link 7faff333.0 an und fetchmail sucht nach 594f1775.0. Das Zertifikat habe ich mir mit folgendem Kommando geholt openssl s_client -connect pop.1und1.de:995 -showcerts Hat jemand einen Tipp was ich falsch gemacht hab oder vergessen hab zu tun? Hier hat es nur funktioniert, wenn _alle_ nötigen Certifikate (also auch die der Beglaubiger) in dem Verzeichnis liegen, das Du fetchmail cia sslcertpath angibst. Ich habe a) die certifikate der diversen pop-Server mit openssl geholt b) diese (die übrigens zwingend *.pem heissen müssen) durch c_rehash bearbeiten lassen c) den _gesamten_ Inhalt (pem-Files + links) nach /etc/ssl/certs kopiert d) in fetchmail eben dieses als ssl-dir angegeben. (ich hole von arcor, gmx, 1und1 und vodafone ab) Andreas
Re: fetchmail und ssl
Hallo Andrea, Andreas Pakulat [EMAIL PROTECTED] wrote: On 09.11.05 21:13:51, Frank Dietrich wrote: ich habe versucht meinem fetchmail ssl beizubringen. Vorgegangen bin ich nach [1]. Ich weiss ehrlich gesagt nicht wozu der ganze Spass da gut sein soll, [...] Aaah, nochmal in die README.SSL.gz geschaut, du willst dass der Server sich bei dir authentifiziert, damit keine Man in the Middle Attacken mehr moeglich sind. Vllt. schaust du mal in o.g. Datei in /usr/share/doc/fetchmail. Naja, die README.SSL.gz ist in diesem Fall wirklich keine all zu große Hilfe. Deswegen bin ich ja dann auf das Tutorial gestoßen. Insbesondere da das Tutorial ja schon recht alt ist. Tut aber nichts zu Sache das es funktioniert. Und hier kommt jetzt das wie (ist mir heute früh so eingefallen, war gestern wohl zu spät ;-) ) 1. alles so einrichten wie es in dem Tutorial beschrieben ist 2. (das fehlt oder ist Debian spezifisch oder nur bei mir so ;-) ) fetchmail benötigt zur Prüfung des Server Zertifikates natürlich noch das Zertifikat der ausstellenden CA. Diese liegen in /etc/ssl/certs, die benötigten einfach nach ~/.certs/ verlinken und schon geht es. Frank -- Ist das jetzt ein Klischee, daß überall auf der Welt erfolgreichen Nerd-Programmierer allein in ihrem stillen Kämmerchen sitzen und sich alles völlig allein aus irgendwelchen Handbüchern beibringen?
Re: fetchmail und ssl
Hallo Thilo, Thilo Engelbracht [EMAIL PROTECTED] wrote: Am 09.11.2005 um 21:13 Uhr schrieb Frank Dietrich ich habe versucht meinem fetchmail ssl beizubringen. Vorgegangen bin ich nach [1]. Leider meldet es beim abholen der Mail immer unable to geht local issuer certificate. Also ich habe das so gelöst: in der Datei /etc/fetchmailrc die Option ssl angegeben $ fetchmail -vf /etc/fetchmailrc Dann guckst Du Dir das fetchmail-logfile an. Dort sollten ein (oder mehrere) fingerprint-Einträge auftauchen. Diese kopierst Du dann in Deine /etc/fetchmailrc: Das hat hier auch funktioniert. Ich wollte es aber so einrichten, das die Verbindung nur zustande kommt, wenn der Server das richtige Zertifikat vorweist. Ist bereits gelöst, Antwort hab ich grad geschrieben. Lag nur daran das weitere benötigte Zertifikate nicht an der Stelle waren wo fetchmail danach gesucht hat. Frank -- A: Because it breaks the logical sequence of discussion Q: Why is top posting bad?
Re: fetchmail und ssl
Hallo Andreas, Kyek, Andreas, VF-DE [EMAIL PROTECTED] wrote: Frank Dietrich wrote: ich habe versucht meinem fetchmail ssl beizubringen. Vorgegangen bin ich nach [1]. Hier hat es nur funktioniert, wenn _alle_ nötigen Certifikate (also auch die der Beglaubiger) in dem Verzeichnis liegen, das Du fetchmail cia sslcertpath angibst. Genau daran hat's gelegen, die der Root CA haben nicht dort gelegen wo fetchmail danach schauen sollte. Hab Deine Mail eben erst gesehen und genau das gleiche eben auch nochmal geschrieben. ;-) Frank -- Your skill in reading was increased by 1 point.
fetchmail und ssl
Hallo an euch, ich habe versucht meinem fetchmail ssl beizubringen. Vorgegangen bin ich nach [1]. Leider meldet es beim abholen der Mail immer unable to geht local issuer certificate. Da ich auch mit Hilfe von $Suchmaschine nicht weiter gekommen bin. Hab ich es mal mit strace laufen lassen. c_rehash legt einen Link 7faff333.0 an und fetchmail sucht nach 594f1775.0. Das Zertifikat habe ich mir mit folgendem Kommando geholt openssl s_client -connect pop.1und1.de:995 -showcerts Hat jemand einen Tipp was ich falsch gemacht hab oder vergessen hab zu tun? Frank [1] http://bronski.net/data/fetchmail-deu.php -- If it doesn't work, force it. If it breaks, it needed replacing anyway. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: fetchmail und ssl
On 09.11.05 21:13:51, Frank Dietrich wrote: Hallo an euch, ich habe versucht meinem fetchmail ssl beizubringen. Vorgegangen bin ich nach [1]. Ich weiss ehrlich gesagt nicht wozu der ganze Spass da gut sein soll, aber mein fetchmail hier funktioniert einzig mit der ssl-Option. Passwort wird nicht im Klartext uebertragen (grad nochmal mit ethereal gecheckt). Aaah, nochmal in die README.SSL.gz geschaut, du willst dass der Server sich bei dir authentifiziert, damit keine Man in the Middle Attacken mehr moeglich sind. Vllt. schaust du mal in o.g. Datei in /usr/share/doc/fetchmail. Insbesondere da das Tutorial ja schon recht alt ist. Andreas -- Your analyst has you mixed up with another patient. Don't believe a thing he tells you. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: fetchmail und ssl
Am 09.11.2005 um 21:13 Uhr schrieb Frank Dietrich [EMAIL PROTECTED]: Hallo an euch, Hallo! ich habe versucht meinem fetchmail ssl beizubringen. Vorgegangen bin ich nach [1]. Leider meldet es beim abholen der Mail immer unable to geht local issuer certificate. Da ich auch mit Hilfe von $Suchmaschine nicht weiter gekommen bin. Hab ich es mal mit strace laufen lassen. Also ich habe das so gelöst: $ /etc/init.d/fetchmail stop $ su fetchmail in der Datei /etc/fetchmailrc die Option ssl angegeben $ fetchmail -vf /etc/fetchmailrc Dann guckst Du Dir das fetchmail-logfile an. Dort sollten ein (oder mehrere) fingerprint-Einträge auftauchen. Diese kopierst Du dann in Deine /etc/fetchmailrc: poll host.domain.tld port 995 user foo pass bar is thilo ssl sslfingerprint 21:D3:C9:A1:5E:21:FC:F3:43:BC:C2:9E:A3:0E:31:6A Hat jemand einen Tipp was ich falsch gemacht hab oder vergessen hab zu tun? Frank HTH. Gruß, Thilo -- Registered Linux user #348074 with the Linux counter http://counter.li.org -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: fetchmail und ssl
On 09.11.05 23:07:00, Thilo Engelbracht wrote: Am 09.11.2005 um 21:13 Uhr schrieb Frank Dietrich [EMAIL PROTECTED]: Hallo an euch, ich habe versucht meinem fetchmail ssl beizubringen. Vorgegangen bin ich nach [1]. Leider meldet es beim abholen der Mail immer unable to geht local issuer certificate. Da ich auch mit Hilfe von $Suchmaschine nicht weiter gekommen bin. Hab ich es mal mit strace laufen lassen. Also ich habe das so gelöst: $ /etc/init.d/fetchmail stop $ su fetchmail in der Datei /etc/fetchmailrc die Option ssl angegeben $ fetchmail -vf /etc/fetchmailrc Dann guckst Du Dir das fetchmail-logfile an. Dort sollten ein (oder mehrere) fingerprint-Einträge auftauchen. Diese kopierst Du dann in Deine /etc/fetchmailrc: poll host.domain.tld port 995 user foo pass bar is thilo ssl sslfingerprint 21:D3:C9:A1:5E:21:FC:F3:43:BC:C2:9E:A3:0E:31:6A Um meine Neugierde zu befriedigen: Das ist fuer die Authentifizierung des Servers bei dir richtig? Nicht damit das mit SSL ueberhaupt klappt? Andreas, der grad etwas unsicher ist, auch wenn im Ethereal-Log alle Kommunikation mit pop3s-Port durchgefuehrt wurde -- You had some happiness once, but your parents moved away, and you had to leave it behind. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: fetchmail und ssl
* Andreas Pakulat [EMAIL PROTECTED] [051109 23:55]: poll host.domain.tld port 995 user foo pass bar is thilo ssl sslfingerprint 21:D3:C9:A1:5E:21:FC:F3:43:BC:C2:9E:A3:0E:31:6A Um meine Neugierde zu befriedigen: Das ist fuer die Authentifizierung des Servers bei dir richtig? Yep. Das ist der fingerprint des Zertifikates, dass der Server einsetzt. Sollt jemand also per dns-Spoofing oder sonstwas dir vortaeuschen koennen, der entsprechende mailserver zu sein, merkst du immernoch, dass da was nicht stimmt. Yours sincerely, Alexander -- http://learn.to/quote/ http://www.catb.org/~esr/faqs/smart-questions.html signature.asc Description: Digital signature
lynx: SSL-Fehler?
Hallo Liste, sobald ich mit lynx eine Seite über https aufrufe bekomme ich folgende Meldung: ---8--- SSL-Fehler:Es ist nicht möglich einen allgemeinen Namen im Zertifikat zu finden - Fortfahren? (j) ---8--- Nachdem man das ganze mit j bestätigt kommt man ganz normal auf die Seite, die auch funktioniert. Ich habe bereits folgenden Lösungsvorschlag gefunden: http://lists.debian.org/debian-user/2004/04/msg01607.html Wenn ich in der /etc/lynx.cfg FORCE_SSL_PROMPT auf yes setze, erscheint die Meldung für kurze Zeit, wird aber dann selbstständig bestätigt. Ich muss jetzt also nicht mehr selbst die Meldung mit j bestätigen, jedoch würde ich trotzdem gerne wissen was die Meldung zu bedeuten hat. Wenn ich die Seite mit dem Firefox aufrufe, bekomme ich keine derartigen Hinweise. Wird die https-Verbindung bei lynx trotz der Fehler-Meldung korrekt aufgebaut? Cheers, Andreas -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
