Hallo Markus,
postconf -n | egrep 'smtpd_tls.*file'
smtp_tls_cert_file = $smtpd_tls_cert_file
smtp_tls_key_file = $smtpd_tls_key_file
smtpd_tls_cert_file =
/etc/letsencrypt/live/mail1.glasgasperlmair.at/fullchain.pem
smtpd_tls_dh1024_param_file = /etc/postfix/dh_2048.pem
smtpd_tls_dh512_param_file = /etc/postfix/dh_512.pem
smtpd_tls_key_file =
/etc/letsencrypt/live/mail1.glasgasperlmair.at/privkey.pem
Vielen Dank für deine sehr aufschlussreichen Informationen. :-)
By the way: Sollte ich auch noch ein dh_1024.pem und ein dh_4096.pm für
PFS erstellen?
Vg, Andi
Am 26.10.2021 um 19:49 schrieb Markus Winkler:
Hallo noch mal Andi,
On 26.10.21 16:25, Andreas Wass - Glas Gasperlmair wrote:
Du kannst auch das abgelaufene Root-Zertifkat auf dem Server
löschen. Das sollte reichen.
Auf meinem neuen Server dürfte es kein abgelaufenes Root-Zertifikat
geben, da die neuen Zertifikate ja erst letzten Samstag erstellt
wurden? Da gab es vorher noch keine Zertifikate.
Das ist Deinem Server ja mal herzlich egal. Ich meinte sowas wie
sed -i
"s/^mozilla\/DST_Root_CA_X3\.crt/\!mozilla\/DST_Root_CA_X3\.crt/g"
/etc/ca-certificates.conf
update-ca-certificates
...das könnt ich mal probieren.
das "schadet" zwar nicht, dürfte bei deinem Thema allerdings keinerlei
Effekt haben. ;-)
Was zeigt denn ein:
postconf -n | egrep 'smtpd_tls.*file'
bei Dir?
Ich vermute, dass da u. a. etwas in der Art auftaucht:
smtpd_tls_cert_file =
/etc/letsencrypt/live/mail1.glasgasperlmair.at/fullchain.pem
(smtpd_tls_chain_files ... könnte zusätzlich oder alternativ
erscheinen, da bei neueren Postfix-Versionen das der bevorzugte
Parameter ist)
Stimmt das? Wenn ja: In dem/den dort referenzierten File(s) findest Du
die drei Certs, die Dein Postfix einem Client beim Verbindungsaufbau
übergibt. Und eines von denen ist (ich wiederhole mich ;-)) das
Root-Cert 'CN = ISRG Root X1', das vom nun nicht mehr gültigen 'DST
Root CA X3' signiert wurde.
Das nur noch mal zum Hintergrund.
Du kannst zwar dieses Root-Cert aus dem File '.../fullchain.pem' (oder
wo auch immer es bei Dir unterhalb von /etc/letsencrypt gespeichert
ist) löschen. Aber auch das wird Dir bei irgendwelchen Uraltclients
aus den schon in den früheren Mails genannten Gründen nichts bringen.
Viele Grüße
Markus
