Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Fetchmail,SSL,Gmx,Freenet

238 views
Skip to first unread message

Dieter Hoffman

unread,
Feb 13, 2009, 9:11:09 AM2/13/09
to
Guten Tag alle zusammen.
Ich moechte kurz meine Erfahrung austauschen
und nach einem Rattschlag fragen.

Beschreibung der Problem:
Aufruf von fetchmail schlaegt mit einer Fehlermeldung fehl:

Warnung: Server-Zertifikat-Überprüfung:
unable to get local issuer certificate

Also alle, die Schwierigkeiten damit haben,
ihre Post bei Gmx mittels fetchmail durch SSL
Verbindung abzuholen, koennen es auf folgende Art
und Weise versuchen:

1. Die Konfigurationsdatei ~/.fetchmailrc

poll pop.gmx.net
proto apop
port 995
user gmx_...@gmx.de
password streng_geheim
is lin_user
ssl
sslproto tls1
sslcertpath /usr/share/ssl/certs
sslfingerprint 'BA:XX:XX:XX:USW'
sslcertsck

2. Die CA Root Zertifikate von Thawte herunterladen:

GET http://https://www.verisign.com/support/thawte-roots.zip \
> thawte-root.zip

3. Entpacken
unzip ~/thawte-roots.zip

4. In das Verzeichnis Thawte Server Roots wechseln:
cd ~/Thawte\ Server\ Roots

5. Die Datei ThawtePremiumServerCA.cer in PEM konvertieren:

openssl x509 -in ThawtePremiumServerCA.cer -inform DER -outform PEM \
> thawte.pem

5. Die Datei thawte.pem nach /usr/share/ssl/certs kopieren:
su -c`cp ~/thawte.pm /usr/share/ssl/certs/`

6. Gmx Zertifikate herunterladen:

echo "quit" | openssl s_client -connect pop.gmx.net:995 -showcerts |
sed -ne '/BEGIN/,/END/p' > gmx.de.pem

und auch nach /usr/share/ssl/certs kopieren.

7. Im Verzeichnis /usr/share/ssl/certs/
./c_rehash .
ausfuehren.
( Fuer diejenige die c_rehash nicht haben)
( GET http://koti.kapsi.fi/ptk/postfix/c_rehash.txt > ~/c_rehash )

8. fetchmail ausfuehren.

Meine Frage an diejenige, die einen Account bei Freenet haben,
und eine SSL Verbindung nutzen:
wo bekomme ich CA Root Zertifikate von Trust User ?
Ich wuerde Ihnen sehr fuer einen direkten Link verbunden sein.
^^^^^^^^
Danke.

--

Message has been deleted

Dieter Hoffman

unread,
Feb 13, 2009, 12:44:11 PM2/13/09
to
> Übrigens, *vielen* Dank für die Zusammenfassung. So etwas sieht man
> heutzutage leider nur noch selten.
>
> Gruß, Heiko

Keine Ursache Heiko.
Ich danke auch fuer den Tipp und die Ernstnehmung.

--

Dieter Hoffman

unread,
Feb 13, 2009, 1:59:51 PM2/13/09
to

Fortsetzung fuer die Freenet Nutzer, keine Debian-Freaks
und einfach Ungeduldigen:
1. Besuchen Sie die Seite

"https://support.comodo.com/index.php?_m=downloads&_a=view&parentcategoryid=1&nav=0"

2. Laden Sie alle Zertifikate, die Sie finden koennen.

3. Fuehren Sie folgenden Befehl aus der Konsole aus:

for i in *.crt; do openssl x505 -in "$i" -outform PEM > "$i".pem;done

4. Nach /usr/share/ssl/certs kopieren.
cp ./*.pem /usr/share/ssl/certs/

5. Im Verzeichnis /usr/share/ssl/certs/
./c_rehash .
ausfuehren.

Fuer alle anderen, reicht es die Datei UTNAddTrustServerCA.crt
herunterzuladen und oben beschriebene durchzufuehren.

PS: Vielen Dank an Heiko

--

Jakob Hirsch

unread,
Feb 16, 2009, 7:50:47 AM2/16/09
to
Dieter Hoffman wrote:

> Also alle, die Schwierigkeiten damit haben,
> ihre Post bei Gmx mittels fetchmail durch SSL
> Verbindung abzuholen, koennen es auf folgende Art
> und Weise versuchen:

Schön, aber wozu? Wie Heiko schon geschrieben hat, mit installiertem
(und somit von der Distribution signierten und aktuell gehaltenen)
ca-certificates (zumindest bei Fedora, wohl auch bei Debian)
funktioniert das auch "einfach so".
Wozu sollte man sich den Aufwand machen, selbst root-Zertifikate
zusammenzusuchen und fingerprints rauszusuchen? Und dann auch noch für
freemail-Dienste...

Dieter Hoffman

unread,
Feb 22, 2009, 1:54:10 PM2/22/09
to
Jakob Hirsch <jh.expire...@plonk.de> wrote:
>
> Schön, aber wozu? Wie Heiko schon geschrieben hat, mit installiertem
> (und somit von der Distribution signierten und aktuell gehaltenen)
> ca-certificates (zumindest bei Fedora, wohl auch bei Debian)
> funktioniert das auch "einfach so".
> Wozu sollte man sich den Aufwand machen, selbst root-Zertifikate
> zusammenzusuchen und fingerprints rauszusuchen? Und dann auch noch für
> freemail-Dienste...
Sie haben recht. Komischerweise gelang es mir leider "von der Distribution
signierten ca-certificates" nicht , mittels SSL-Verbindung meine Post abzuholen.
Ich nehme an, es lag daran, dass es nach der kompleten Packeterneuerung von diversen
ssl-xxxx Programmen aus den "source codes" etwas mit der Packetabhaengigkeit
nicht stimmte.
Was immer es auch gewesen ist, es funktioniert jetzt.


--

cyg

unread,
Feb 22, 2009, 2:26:25 PM2/22/09
to
On 2009-02-16, Jakob Hirsch <jh.expire...@plonk.de> wrote:
> Dieter Hoffman wrote:
>> Also alle, die Schwierigkeiten damit haben,
>> ihre Post bei Gmx mittels fetchmail durch SSL
>> Verbindung abzuholen,
> Schön, aber wozu?

Es gibt "Distributionen" bei denen sowas nicht von Haus aus dabei ist.
Und deshalb ist es gut das so Anleitungen zu posten.

Danke dafür.

0 new messages