Beschreibung der Problem:
Aufruf von fetchmail schlaegt mit einer Fehlermeldung fehl:
Warnung: Server-Zertifikat-Überprüfung:
unable to get local issuer certificate
Also alle, die Schwierigkeiten damit haben,
ihre Post bei Gmx mittels fetchmail durch SSL
Verbindung abzuholen, koennen es auf folgende Art
und Weise versuchen:
1. Die Konfigurationsdatei ~/.fetchmailrc
poll pop.gmx.net
proto apop
port 995
user gmx_...@gmx.de
password streng_geheim
is lin_user
ssl
sslproto tls1
sslcertpath /usr/share/ssl/certs
sslfingerprint 'BA:XX:XX:XX:USW'
sslcertsck
2. Die CA Root Zertifikate von Thawte herunterladen:
GET http://https://www.verisign.com/support/thawte-roots.zip \
> thawte-root.zip
3. Entpacken
unzip ~/thawte-roots.zip
4. In das Verzeichnis Thawte Server Roots wechseln:
cd ~/Thawte\ Server\ Roots
5. Die Datei ThawtePremiumServerCA.cer in PEM konvertieren:
openssl x509 -in ThawtePremiumServerCA.cer -inform DER -outform PEM \
> thawte.pem
5. Die Datei thawte.pem nach /usr/share/ssl/certs kopieren:
su -c`cp ~/thawte.pm /usr/share/ssl/certs/`
6. Gmx Zertifikate herunterladen:
echo "quit" | openssl s_client -connect pop.gmx.net:995 -showcerts |
sed -ne '/BEGIN/,/END/p' > gmx.de.pem
und auch nach /usr/share/ssl/certs kopieren.
7. Im Verzeichnis /usr/share/ssl/certs/
./c_rehash .
ausfuehren.
( Fuer diejenige die c_rehash nicht haben)
( GET http://koti.kapsi.fi/ptk/postfix/c_rehash.txt > ~/c_rehash )
8. fetchmail ausfuehren.
Meine Frage an diejenige, die einen Account bei Freenet haben,
und eine SSL Verbindung nutzen:
wo bekomme ich CA Root Zertifikate von Trust User ?
Ich wuerde Ihnen sehr fuer einen direkten Link verbunden sein.
^^^^^^^^
Danke.
--
Keine Ursache Heiko.
Ich danke auch fuer den Tipp und die Ernstnehmung.
--
Fortsetzung fuer die Freenet Nutzer, keine Debian-Freaks
und einfach Ungeduldigen:
1. Besuchen Sie die Seite
"https://support.comodo.com/index.php?_m=downloads&_a=view&parentcategoryid=1&nav=0"
2. Laden Sie alle Zertifikate, die Sie finden koennen.
3. Fuehren Sie folgenden Befehl aus der Konsole aus:
for i in *.crt; do openssl x505 -in "$i" -outform PEM > "$i".pem;done
4. Nach /usr/share/ssl/certs kopieren.
cp ./*.pem /usr/share/ssl/certs/
5. Im Verzeichnis /usr/share/ssl/certs/
./c_rehash .
ausfuehren.
Fuer alle anderen, reicht es die Datei UTNAddTrustServerCA.crt
herunterzuladen und oben beschriebene durchzufuehren.
PS: Vielen Dank an Heiko
--
> Also alle, die Schwierigkeiten damit haben,
> ihre Post bei Gmx mittels fetchmail durch SSL
> Verbindung abzuholen, koennen es auf folgende Art
> und Weise versuchen:
Schön, aber wozu? Wie Heiko schon geschrieben hat, mit installiertem
(und somit von der Distribution signierten und aktuell gehaltenen)
ca-certificates (zumindest bei Fedora, wohl auch bei Debian)
funktioniert das auch "einfach so".
Wozu sollte man sich den Aufwand machen, selbst root-Zertifikate
zusammenzusuchen und fingerprints rauszusuchen? Und dann auch noch für
freemail-Dienste...
--
Es gibt "Distributionen" bei denen sowas nicht von Haus aus dabei ist.
Und deshalb ist es gut das so Anleitungen zu posten.
Danke dafür.