SSL-Fehler bei Freischaltung

Phoenix_ · Apr 1st 2015

Hallo ihr Lieben. =)

Ich habe gerade die technische Aufsicht über ein Forum übernommen - Kundenlabel kommt gleich, wurde schon eingetragen - und wurde nach einem Update des Forums mit dem ersten Problem konfrontiert, bei dem ich Probleme bei der Lösung habe.
Aus diesem Grund bitte ich euch um eure Mithilfe.

Folgende Fehlermeldung bekomme ich jedes Mal, wenn ich einen neuen Account freischalten möchte.

Code: error.log

Wed, 01 Apr 2015 15:24:13 +0000
Message: PHP warning in file /var/www/vhosts/meinedomain.tld/httpdocs/wcf/lib/system/io/RemoteFile.class.php (95): stream_socket_enable_crypto(): SSL operation failed with code 1. OpenSSL Error messages:
error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
File: /var/www/vhosts/meinedomain.tld/httpdocs/wcf/lib/system/WCF.class.php (304)
PHP version: 5.6.7-1~dotdeb.1
WCF version: 2.1.2 pl 3 (Typhoon)
Request URI: /acp/index.php/AJAXProxy/?&
Referrer: https://meinedomain.tld/acp/index.php?user-list/200/&sortField=registrationDate&sortOrder=DESC&
User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Dragon/36.1.1.22 Chrome/36.0.1985.97 Safari/537.36
Information: ""
Stacktrace: 
  #0 [internal function]: wcf\system\WCF::handleError(2, 'stream_socket_e...', '/var/www/vhosts...', 95, Array)
  #1 /var/www/vhosts/meinedomain.tld/httpdocs/wcf/lib/system/io/RemoteFile.class.php(95): stream_socket_enable_crypto(Resource id #25, true, 9)
  #2 /var/www/vhosts/meinedomain.tld/httpdocs/wcf/lib/system/mail/SMTPMailSender.class.php(92): wcf\system\io\RemoteFile->setTLS(true)
  #3 /var/www/vhosts/meinedomain.tld/httpdocs/wcf/lib/system/mail/SMTPMailSender.class.php(169): wcf\system\mail\SMTPMailSender->connect()
  #4 /var/www/vhosts/meinedomain.tld/httpdocs/wcf/lib/system/mail/Mail.class.php(260): wcf\system\mail\SMTPMailSender->sendMail(Object(wcf\system\mail\Mail))
  #5 /var/www/vhosts/meinedomain.tld/httpdocs/wcf/lib/data/user/UserAction.class.php(588): wcf\system\mail\Mail->send()
  #6 [internal function]: wcf\data\user\UserAction->enable()
  #7 /var/www/vhosts/meinedomain.tld/httpdocs/wcf/lib/data/AbstractDatabaseObjectAction.class.php(196): call_user_func(Array)
  #8 /var/www/vhosts/meinedomain.tld/httpdocs/wcf/lib/action/AJAXProxyAction.class.php(77): wcf\data\AbstractDatabaseObjectAction->executeAction()
  #9 /var/www/vhosts/meinedomain.tld/httpdocs/wcf/lib/action/AJAXInvokeAction.class.php(96): wcf\action\AJAXProxyAction->invoke()
  #10 /var/www/vhosts/meinedomain.tld/httpdocs/wcf/lib/action/AbstractAction.class.php(49): wcf\action\AJAXInvokeAction->execute()
  #11 /var/www/vhosts/meinedomain.tld/httpdocs/wcf/lib/action/AJAXInvokeAction.class.php(63): wcf\action\AbstractAction->__run()
  #12 /var/www/vhosts/meinedomain.tld/httpdocs/wcf/lib/system/request/Request.class.php(58): wcf\action\AJAXInvokeAction->__run()
  #13 /var/www/vhosts/meinedomain.tld/httpdocs/wcf/lib/system/request/RequestHandler.class.php(139): wcf\system\request\Request->execute()
  #14 /var/www/vhosts/meinedomain.tld/httpdocs/acp/index.php(10): wcf\system\request\RequestHandler->handle('wbb', true)
  #15 {main}

Display More

Liebe Grüße
Phoenix_

**Alexander Ebert** · Apr 1st 2015

Der SMTP-Versand erfolgt über eine verschlüsselte Verbindung, allerdings ist das Zertifikat des Mail-Servers ungültig.

SoftCreatR · Apr 1st 2015

Du musst dafür sorgen, dasser Zertifikatsspeicher deines Betriebsystems das Zertifikat des Mail-Servers akzeptiert. Ist im Übrigen eine "Neuerung" in PHP 5.6.

scy · Apr 1st 2015

Sieht aus als ist das SSL-Zertifikat für den E-Mail SMTP nicht gültig.

Gruss

Phoenix_ · Apr 1st 2015

Hallo @Alexander Ebert,

danke für deine schnelle Antwort. Es handelt sich dabei um ein selbst signiertes Zertifikat, wie bei Plesk üblich. Kann ich diesen Fehler irgendwie umgehen oder muss ich für die Subdomain ein Zertifikat kaufen?

Phoenix_ · Apr 2nd 2015

Hallo =)

Inzwischen habe ich das Problem gelöst. Danke an @SoftCreatR, der mich auf die richtige Spur gebracht hat.

Lösung:
Wie gesagt legt Plesk bei der Installation des Mailservers ein selbstsigniertes Zertifikat an. Je nach Mailserver liegt es an unterschiedlichen Stellen. Von dort kopiert man es und fügt es wie folgt hinzu:

Bash

sudo cp /etc/postfix/postfix_default.pem /usr/local/share/ca-certificates/postfix_default.crt
sudo update-ca-certificates

Meine Befehle sind dabei für Ubuntu-Server gedacht. Wer andere Systeme einsetzt, wird hier sicher finden, wie man die Zertifikate in den Speicher des Systems bekommt: http://kb.kerio.com/product/ke…s-to-the-server-1605.html

Liebe Grüße und vielen Dank an die Helfer hier! =)

Peterson · Mar 18th 2018

Ich muss dieses alte Thema nochmal aufmachen. Ich komme hier nämlich nicht weiter.

Fehlermeldung
stream_socket_enable_crypto(): Peer certificate CN=`http://www.spielerheim.de' did not match expected CN=`mail.spielerheim.de'

Ich habe versucht das Zertifikat mit diesen Befehlen einzubinden da die von Phoenix_ nicht funktionierten.

cp /usr/local/psa/var/certificates/certKmIy5l /etc/postfix/postfix_default.pem

cp /usr/local/psa/var/certificates/certKmIy5l /usr/local/share/ca-certificates/postfix_default.crt

cp /etc/postfix/postfix_default.pem /usr/local/share/ca-certificates/postfix_default.crt

sudo update-ca-certificates

/usr/local/psa/admin/sbin/mailmng --restart-service

Beim zuschicken der "Passwort vergessen" Mail erscheint aber nach wie vor ein Eintrag in der Log Datei.

Fehlerlog

Woodmen · Mar 18th 2018

Quote from Peterson

Error Message: stream_socket_enable_crypto(): Peer certificate CN=`http://www.spielerheim.de' did not match expected CN=`mail.spielerheim.de'

Error Code: 0

Sagt doch bereits alles?

Das angegebene Zertifikat, bzw. der CN passt nicht zu dem erwarteten CN.

Lösung: Neues Zertifikat mit korrektem CN generieren und hinterlegen.

Peterson · Mar 18th 2018

Wie?

Woodmen · Mar 18th 2018

Quote from Peterson

Wie?

Auf der Shell beispielsweise. (ggf. geht das bei Plesk auch über die Öberfläche)

https://support.plesk.com/hc/e…s-and-apply-it-to-Postfix

Oder händisch:

Code

openssl genrsa -out CA.key 4096
openssl req -x509 -new -nodes -key CA.key -days 3650 -out CA.pem
openssl genrsa -out MeineDomain.key 4096
openssl req -new -key MeineDomain.key -out MeineDomain.csr
openssl x509 -req -in MeineDomain.csr -CA CA.pem -CAkey CA.key -CAcreateserial -out MeineDomain.crt -days 3650

Peterson · Mar 18th 2018

Das generiert aber ein selbstsigniertes Zertifikat. Ich habe aber bereits ein anderes im Einsatz das ich einbinden möchte.

Barungar · Mar 18th 2018

Quote from Peterson

Das generiert aber ein selbstsigniertes Zertifikat. Ich habe aber bereits ein anderes im Einsatz das ich einbinden möchte.

Weil das Zertifikat, das Du bereits hast, nicht für den Mail-Server taugt... der Mailserver heißt laut der Meldung oben: mail.spielerheim.de und das Zertifikat ist aber für www.spielerheim.de ... damit kannst Du es nicht auf dem Mailserver einsetzten. Du brauchst dafür ein Zertifikat für mail.spielerheim.de

SSL-Fehler bei Freischaltung

Participate now!

Share

Tags