SSL-Fehler bei Freischaltung

  • Hallo ihr Lieben. =)


    Ich habe gerade die technische Aufsicht über ein Forum übernommen - Kundenlabel kommt gleich, wurde schon eingetragen - und wurde nach einem Update des Forums mit dem ersten Problem konfrontiert, bei dem ich Probleme bei der Lösung habe.
    Aus diesem Grund bitte ich euch um eure Mithilfe.


    Folgende Fehlermeldung bekomme ich jedes Mal, wenn ich einen neuen Account freischalten möchte.


    Liebe Grüße
    Phoenix_

    • Official Post

    Der SMTP-Versand erfolgt über eine verschlüsselte Verbindung, allerdings ist das Zertifikat des Mail-Servers ungültig.

    Alexander Ebert
    Senior Developer WoltLab® GmbH

  • Du musst dafür sorgen, dasser Zertifikatsspeicher deines Betriebsystems das Zertifikat des Mail-Servers akzeptiert. Ist im Übrigen eine "Neuerung" in PHP 5.6.

  • Hallo @Alexander Ebert,


    danke für deine schnelle Antwort. Es handelt sich dabei um ein selbst signiertes Zertifikat, wie bei Plesk üblich. Kann ich diesen Fehler irgendwie umgehen oder muss ich für die Subdomain ein Zertifikat kaufen?

  • Hallo =)


    Inzwischen habe ich das Problem gelöst. Danke an @SoftCreatR, der mich auf die richtige Spur gebracht hat.


    Lösung:
    Wie gesagt legt Plesk bei der Installation des Mailservers ein selbstsigniertes Zertifikat an. Je nach Mailserver liegt es an unterschiedlichen Stellen. Von dort kopiert man es und fügt es wie folgt hinzu:

    Bash
    sudo cp /etc/postfix/postfix_default.pem /usr/local/share/ca-certificates/postfix_default.crt
    sudo update-ca-certificates


    Meine Befehle sind dabei für Ubuntu-Server gedacht. Wer andere Systeme einsetzt, wird hier sicher finden, wie man die Zertifikate in den Speicher des Systems bekommt: http://kb.kerio.com/product/ke…s-to-the-server-1605.html


    Liebe Grüße und vielen Dank an die Helfer hier! =)

  • Ich muss dieses alte Thema nochmal aufmachen. Ich komme hier nämlich nicht weiter.


    Fehlermeldung
    stream_socket_enable_crypto(): Peer certificate CN=`http://www.spielerheim.de' did not match expected CN=`mail.spielerheim.de'


    Ich habe versucht das Zertifikat mit diesen Befehlen einzubinden da die von Phoenix_ nicht funktionierten.


    cp /usr/local/psa/var/certificates/certKmIy5l /etc/postfix/postfix_default.pem

    cp /usr/local/psa/var/certificates/certKmIy5l /usr/local/share/ca-certificates/postfix_default.crt

    cp /etc/postfix/postfix_default.pem /usr/local/share/ca-certificates/postfix_default.crt

    sudo update-ca-certificates

    /usr/local/psa/admin/sbin/mailmng --restart-service



    Beim zuschicken der "Passwort vergessen" Mail erscheint aber nach wie vor ein Eintrag in der Log Datei.


  • Error Message: stream_socket_enable_crypto(): Peer certificate CN=`http://www.spielerheim.de' did not match expected CN=`mail.spielerheim.de'

    Error Code: 0

    Sagt doch bereits alles?

    Das angegebene Zertifikat, bzw. der CN passt nicht zu dem erwarteten CN.

    Lösung: Neues Zertifikat mit korrektem CN generieren und hinterlegen.

  • Wie?

    Auf der Shell beispielsweise. (ggf. geht das bei Plesk auch über die Öberfläche)

    https://support.plesk.com/hc/e…s-and-apply-it-to-Postfix


    Oder händisch:

    Code
    openssl genrsa -out CA.key 4096
    openssl req -x509 -new -nodes -key CA.key -days 3650 -out CA.pem
    openssl genrsa -out MeineDomain.key 4096
    openssl req -new -key MeineDomain.key -out MeineDomain.csr
    openssl x509 -req -in MeineDomain.csr -CA CA.pem -CAkey CA.key -CAcreateserial -out MeineDomain.crt -days 3650
  • Das generiert aber ein selbstsigniertes Zertifikat. Ich habe aber bereits ein anderes im Einsatz das ich einbinden möchte.

  • Das generiert aber ein selbstsigniertes Zertifikat. Ich habe aber bereits ein anderes im Einsatz das ich einbinden möchte.

    Weil das Zertifikat, das Du bereits hast, nicht für den Mail-Server taugt... der Mailserver heißt laut der Meldung oben: mail.spielerheim.de und das Zertifikat ist aber für www.spielerheim.de ... damit kannst Du es nicht auf dem Mailserver einsetzten. Du brauchst dafür ein Zertifikat für mail.spielerheim.de