Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Fetchmail SSL Error
290 views
Skip to first unread message
Stefan Heidrich
Dec 19, 2013, 4:26:32 AM12/19/13
to
Hallo J�rgen, hallo NG,
nachdem Stefan Puschek die Fetchmail-SSL-Doku erneuert hat, habe ich alle
Konten auf SSL umgestellt.
Soweit so gut. (Daf�r auch nochmal Danke!)
In den letzten Tagen hat sich aber am Zertifikat von t-online.de etwas
getan, wodurch der Fingerprint nicht mehr stimmte. Im Protokoll
/var/log/fetchmail.log findet sich dann soetwas:
fetchmail: securepop.t-online.de fingerprints do not match!
fetchmail: OpenSSL reported: error:14090086:SSL
routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
fetchmail: SSL connection failed.
Kannst Du nicht eine Abfrage ins Mailpaket mit einbauen, die eine Mail an
den root oder jemand �hnlichen erzeugt, wenn sowas im Logfile neu auftaucht?
Dann k�nnte man den Fehler gleich abstellen und nicht erst nach mehreren
Tagen, wenn man endlich feststellt, dass von einem Mail-Account keine Mails
mehr ankommen.
Viele Gr��e udn Danke
Stefan
nachdem Stefan Puschek die Fetchmail-SSL-Doku erneuert hat, habe ich alle
Konten auf SSL umgestellt.
Soweit so gut. (Daf�r auch nochmal Danke!)
In den letzten Tagen hat sich aber am Zertifikat von t-online.de etwas
getan, wodurch der Fingerprint nicht mehr stimmte. Im Protokoll
/var/log/fetchmail.log findet sich dann soetwas:
fetchmail: securepop.t-online.de fingerprints do not match!
fetchmail: OpenSSL reported: error:14090086:SSL
routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
fetchmail: SSL connection failed.
Kannst Du nicht eine Abfrage ins Mailpaket mit einbauen, die eine Mail an
den root oder jemand �hnlichen erzeugt, wenn sowas im Logfile neu auftaucht?
Dann k�nnte man den Fehler gleich abstellen und nicht erst nach mehreren
Tagen, wenn man endlich feststellt, dass von einem Mail-Account keine Mails
mehr ankommen.
Viele Gr��e udn Danke
Stefan
Dirk Alberti
Dec 19, 2013, 5:59:36 AM12/19/13
to
Hallo Stefan,
Am 19.12.2013 10:26, schrieb Stefan Heidrich:
> Hallo Jï¿œrgen, hallo NG,
> Dann kï¿œnnte man den Fehler gleich abstellen und nicht erst nach mehreren
> Stefan
ich zitiere mal aus dem aktuellen Thread "t-online: Mailzertifikate
ausgetauscht" ein Posting von Marcus Roeckrath:
---------------------------------------------------------------------------------------------
Ich habe folgendes Script als cronjob alle halbe Stunde laufen:
#!/bin/sh
fingerprint=`tail -n 40 /var/log/fetchmail.log | grep 'fingerprints do not
match!'`
if [ X"${fingerprint}" != "X" ] ; then
( echo "From: root <root@eis>"
echo "Subject: fetchmail: fingerprint mismatch"
echo "${fingerprint}"
) | /usr/lib/sendmail postmaster@eis
fi
socket_errors=`tail -n 40 /var/log/fetchmail.log | grep 'socket error' | wc
-l`
socket_log=`grep -B 2 'socket error' /var/log/fetchmail.log`
if [ $socket_errors -gt 3 ] ; then
( echo "From: root <root@eis>"
echo "Subject: fetchmail: socket error"
echo "$socket_log"
) | /usr/lib/sendmail postmaster@eis
fi
Nur ein schneller Hack, der mich aber nun schon lï¿œnger bei
fingerprint-Fehlern warnt.
-------------------------------------------------------------------
Gruᅵ
Dirk
Am 19.12.2013 10:26, schrieb Stefan Heidrich:
> Hallo Jï¿œrgen, hallo NG,
>
> nachdem Stefan Puschek die Fetchmail-SSL-Doku erneuert hat, habe ich alle
> Konten auf SSL umgestellt.
> Soweit so gut. (Dafï¿œr auch nochmal Danke!)
> nachdem Stefan Puschek die Fetchmail-SSL-Doku erneuert hat, habe ich alle
> Konten auf SSL umgestellt.
>
> In den letzten Tagen hat sich aber am Zertifikat von t-online.de etwas
> getan, wodurch der Fingerprint nicht mehr stimmte. Im Protokoll
> /var/log/fetchmail.log findet sich dann soetwas:
>
> fetchmail: securepop.t-online.de fingerprints do not match!
> fetchmail: OpenSSL reported: error:14090086:SSL
> routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
> fetchmail: SSL connection failed.
>
> Kannst Du nicht eine Abfrage ins Mailpaket mit einbauen, die eine Mail an
> den root oder jemand ï¿œhnlichen erzeugt, wenn sowas im Logfile neu auftaucht?
> In den letzten Tagen hat sich aber am Zertifikat von t-online.de etwas
> getan, wodurch der Fingerprint nicht mehr stimmte. Im Protokoll
> /var/log/fetchmail.log findet sich dann soetwas:
>
> fetchmail: securepop.t-online.de fingerprints do not match!
> fetchmail: OpenSSL reported: error:14090086:SSL
> routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
> fetchmail: SSL connection failed.
>
> Kannst Du nicht eine Abfrage ins Mailpaket mit einbauen, die eine Mail an
> Dann kï¿œnnte man den Fehler gleich abstellen und nicht erst nach mehreren
> Tagen, wenn man endlich feststellt, dass von einem Mail-Account keine Mails
> mehr ankommen.
>
> Viele Grᅵᅵe udn Danke
> mehr ankommen.
>
> Stefan
ich zitiere mal aus dem aktuellen Thread "t-online: Mailzertifikate
ausgetauscht" ein Posting von Marcus Roeckrath:
---------------------------------------------------------------------------------------------
Ich habe folgendes Script als cronjob alle halbe Stunde laufen:
#!/bin/sh
fingerprint=`tail -n 40 /var/log/fetchmail.log | grep 'fingerprints do not
match!'`
if [ X"${fingerprint}" != "X" ] ; then
( echo "From: root <root@eis>"
echo "Subject: fetchmail: fingerprint mismatch"
echo "${fingerprint}"
) | /usr/lib/sendmail postmaster@eis
fi
socket_errors=`tail -n 40 /var/log/fetchmail.log | grep 'socket error' | wc
-l`
socket_log=`grep -B 2 'socket error' /var/log/fetchmail.log`
if [ $socket_errors -gt 3 ] ; then
( echo "From: root <root@eis>"
echo "Subject: fetchmail: socket error"
echo "$socket_log"
) | /usr/lib/sendmail postmaster@eis
fi
Nur ein schneller Hack, der mich aber nun schon lï¿œnger bei
fingerprint-Fehlern warnt.
-------------------------------------------------------------------
Gruᅵ
Dirk
Juergen Edner
Dec 19, 2013, 7:30:57 AM12/19/13
to
Hallo Stefan,
> Kannst Du nicht eine Abfrage ins Mailpaket mit einbauen, die eine
> Mail an den root oder jemand ähnlichen erzeugt, wenn sowas im Logfile
> neu auftaucht?
> Dann könnte man den Fehler gleich abstellen und nicht erst nach mehreren
Gruß Jürgen
--
Mail: jue...@eisfair.org
> Kannst Du nicht eine Abfrage ins Mailpaket mit einbauen, die eine
> neu auftaucht?
> Dann könnte man den Fehler gleich abstellen und nicht erst nach mehreren
> Tagen, wenn man endlich feststellt, dass von einem Mail-Account keine Mails
> mehr ankommen.
dies ist schon in Arbeit ;-)
> mehr ankommen.
Gruß Jürgen
--
Mail: jue...@eisfair.org
Stefan Heidrich
Dec 20, 2013, 4:20:59 AM12/20/13
to
Hallo J�rgen,
> dies ist schon in Arbeit ;-)
Dankesch�n!
Viele Gr��e
Stefan
> dies ist schon in Arbeit ;-)
Viele Gr��e
Stefan
Stefan Heidrich
Dec 20, 2013, 4:23:39 AM12/20/13
to
Hallo Dirk,
> Ich habe folgendes Script als cronjob alle halbe Stunde laufen:
Danke f�r den Tipp. Ich wei� mittlerweile, dass J�rgen soetwas fest ins
Mail-Paket einbauen wird.
Viele Gr��e
Stefan
> Ich habe folgendes Script als cronjob alle halbe Stunde laufen:
Mail-Paket einbauen wird.
Viele Gr��e
Stefan
Andreas Schmied
Dec 20, 2013, 4:44:44 AM12/20/13
to
Hallo zusammen,
habe genau das selbe Problem, aber:
-certifikate neu heruntergeladen,
- gehasht,
- fingerprint ausgelesen und eingepflegt
Geht nicht.
Ich bekomme sowohl bei secureimap.t-online.de als auch
securepop.t-online.de die oben erwï¿œhnte Fehlermeldung.
Gruᅵ
Andreas
Am 20.12.2013 10:23, schrieb Stefan Heidrich:
> Hallo Dirk,
>
>> Ich habe folgendes Script als cronjob alle halbe Stunde laufen:
>
> Danke fᅵr den Tipp. Ich weiᅵ mittlerweile, dass Jᅵrgen soetwas fest ins
> Mail-Paket einbauen wird.
>
> Viele Grᅵᅵe
> Stefan
>
>
habe genau das selbe Problem, aber:
-certifikate neu heruntergeladen,
- gehasht,
- fingerprint ausgelesen und eingepflegt
Geht nicht.
Ich bekomme sowohl bei secureimap.t-online.de als auch
securepop.t-online.de die oben erwï¿œhnte Fehlermeldung.
Gruᅵ
Andreas
Am 20.12.2013 10:23, schrieb Stefan Heidrich:
> Hallo Dirk,
>
>> Ich habe folgendes Script als cronjob alle halbe Stunde laufen:
>
> Mail-Paket einbauen wird.
>
> Viele Grᅵᅵe
> Stefan
>
>
Andreas Schmied
Dec 20, 2013, 5:00:09 AM12/20/13
to
Hallo zusammen,
habe genau das selbe Problem, aber:
-certifikate neu heruntergeladen,
- gehasht,
- fingerprint ausgelesen und eingepflegt
Geht nicht.
Ich bekomme sowohl bei secureimap.t-online.de als auch
securepop.t-online.de die oben erwï¿œhnte Fehlermeldung.
Frage: muss ein altes Certifikat irgendwie gelï¿œscht werden?
habe genau das selbe Problem, aber:
-certifikate neu heruntergeladen,
- gehasht,
- fingerprint ausgelesen und eingepflegt
Geht nicht.
Ich bekomme sowohl bei secureimap.t-online.de als auch
securepop.t-online.de die oben erwï¿œhnte Fehlermeldung.
Ich habe die Certifkate einfach neu heruntergeladen und unter einem
anderen Namen abgespeichert, sonst nix.
Gruᅵ
Andreas
Marcus Roeckrath
Dec 20, 2013, 5:39:13 AM12/20/13
to
Hallo Andreas,
Andreas Schmied wrote:
> -certifikate neu heruntergeladen,
> - gehasht,
> - fingerprint ausgelesen und eingepflegt
>
> Geht nicht.
> Ich bekomme sowohl bei secureimap.t-online.de als auch
> securepop.t-online.de die oben erwï¿œhnte Fehlermeldung.
Bitte die aktuell in der mail-Konfiguration eingetragenen Fingerprints
posten; kannst Du auch aus /etc/fetchmail.conf entnehmen.
Tippfehler drin?
Dieses sollten die aktuellen Fingerprints sein:
eis # openssl x509 -in securepop.t-online.de.pem -noout -fingerprint -md5
MD5 Fingerprint=CE:CF:FE:44:69:3A:EF:EF:73:42:97:60:B0:41:95:35
eis # openssl x509 -in secureimap.t-online.de.pem -noout -fingerprint -md5
MD5 Fingerprint=90:81:E7:A6:E2:5B:17:A3:78:C5:56:F6:6D:32:F0:13
> Frage: muss ein altes Certifikat irgendwie gelï¿œscht werden?
> Ich habe die Certifkate einfach neu heruntergeladen und unter einem
> anderen Namen abgespeichert, sonst nix.
Nein, aber gebraucht werden die alten nicht mehr.
Zur eigenen ï¿œbersicht wï¿œre <server>.pem also z. B. securepop.t-online.de.pem
eine vernï¿œnftige Namenswahl.
--
Gruss Marcus
Andreas Schmied wrote:
> -certifikate neu heruntergeladen,
> - gehasht,
> - fingerprint ausgelesen und eingepflegt
>
> Geht nicht.
> Ich bekomme sowohl bei secureimap.t-online.de als auch
> securepop.t-online.de die oben erwï¿œhnte Fehlermeldung.
posten; kannst Du auch aus /etc/fetchmail.conf entnehmen.
Tippfehler drin?
Dieses sollten die aktuellen Fingerprints sein:
eis # openssl x509 -in securepop.t-online.de.pem -noout -fingerprint -md5
MD5 Fingerprint=CE:CF:FE:44:69:3A:EF:EF:73:42:97:60:B0:41:95:35
eis # openssl x509 -in secureimap.t-online.de.pem -noout -fingerprint -md5
MD5 Fingerprint=90:81:E7:A6:E2:5B:17:A3:78:C5:56:F6:6D:32:F0:13
> Frage: muss ein altes Certifikat irgendwie gelï¿œscht werden?
> Ich habe die Certifkate einfach neu heruntergeladen und unter einem
> anderen Namen abgespeichert, sonst nix.
Zur eigenen ï¿œbersicht wï¿œre <server>.pem also z. B. securepop.t-online.de.pem
eine vernï¿œnftige Namenswahl.
--
Gruss Marcus
Stefan Puschek
Dec 20, 2013, 6:21:26 AM12/20/13
to
Hi Marcus und Andreas,
> Andreas Schmied wrote:
>
>> -certifikate neu heruntergeladen,
>> - gehasht,
>> - fingerprint ausgelesen und eingepflegt
>>
>> Geht nicht.
>> Ich bekomme sowohl bei secureimap.t-online.de als auch
>> securepop.t-online.de die oben erw�hnte Fehlermeldung.
> Dieses sollten die aktuellen Fingerprints sein:
>
> eis # openssl x509 -in securepop.t-online.de.pem -noout -fingerprint -md5
> MD5 Fingerprint=CE:CF:FE:44:69:3A:EF:EF:73:42:97:60:B0:41:95:35
damit habe ich hier _keine_ Probleme, stimmt alsoďż˝
> eis # openssl x509 -in secureimap.t-online.de.pem -noout -fingerprint -md5
> MD5 Fingerprint=90:81:E7:A6:E2:5B:17:A3:78:C5:56:F6:6D:32:F0:13
>
>> Frage: muss ein altes Certifikat irgendwie gel�scht werden?
> Zur eigenen �bersicht w�re <server>.pem also z. B. securepop.t-online.de.pem
> eine vern�nftige Namenswahl.
sowieso
Groetjes
Stefan
> Andreas Schmied wrote:
>
>> -certifikate neu heruntergeladen,
>> - gehasht,
>> - fingerprint ausgelesen und eingepflegt
>>
>> Geht nicht.
>> Ich bekomme sowohl bei secureimap.t-online.de als auch
>
> Bitte die aktuell in der mail-Konfiguration eingetragenen Fingerprints
> posten; kannst Du auch aus /etc/fetchmail.conf entnehmen.
>
> Tippfehler drin?
genau deswegen habe ich copy und Paste im Howto empfohlenďż˝
> Bitte die aktuell in der mail-Konfiguration eingetragenen Fingerprints
> posten; kannst Du auch aus /etc/fetchmail.conf entnehmen.
>
> Tippfehler drin?
> Dieses sollten die aktuellen Fingerprints sein:
>
> eis # openssl x509 -in securepop.t-online.de.pem -noout -fingerprint -md5
> MD5 Fingerprint=CE:CF:FE:44:69:3A:EF:EF:73:42:97:60:B0:41:95:35
> eis # openssl x509 -in secureimap.t-online.de.pem -noout -fingerprint -md5
> MD5 Fingerprint=90:81:E7:A6:E2:5B:17:A3:78:C5:56:F6:6D:32:F0:13
>
>> Ich habe die Certifkate einfach neu heruntergeladen und unter einem
>> anderen Namen abgespeichert, sonst nix.
>
> Nein, aber gebraucht werden die alten nicht mehr.
ich �berschreibe immer den alten Inhalt mit dem neuen�
>> anderen Namen abgespeichert, sonst nix.
>
> Nein, aber gebraucht werden die alten nicht mehr.
> Zur eigenen �bersicht w�re <server>.pem also z. B. securepop.t-online.de.pem
> eine vern�nftige Namenswahl.
sowieso
Groetjes
Stefan
Dirk Alberti
Dec 20, 2013, 4:39:54 AM12/20/13
to
abgespeichert werden, wenn man die alten nicht lï¿œscht. Also dann als
securepop.-t-online.de-02.pem.
Und dann werdn immer noch die Fingerprints der alten Zertifikate genommen.
Mittels "/var/install/bin/certs-request-cert -replace -writecert pop3
securepop.t-online.de" werden durch das "-replace" die alten gelï¿œscht
und alles passt. Zumindest war es bei mir so.
Gruᅵ Dirk
Marcus Roeckrath
Dec 20, 2013, 7:37:36 AM12/20/13
to
Hallo Dirk,
Dirk Alberti wrote:
> Ich habe die Erfahrung gemacht, dass die Zertifikate durchnummeriert
> abgespeichert werden, wenn man die alten nicht lï¿œscht. Also dann als
> securepop.-t-online.de-02.pem.
Wenn man certs_request_cert benutzt kann das je nach gewï¿œhlten Optionen
sein.
> Und dann werdn immer noch die Fingerprints der alten Zertifikate genommen.
Wer sollte es nehmen?
Der Fingerprint wird ï¿œber folgenden Befehl angezeigt:
openssl x509 -in secureimap.t-online.de.pem -noout -fingerprint -md5
Wenn secureimap.t-online.de.pem nun aber immer noch das alte Zertifikat ist,
jedoch secureimap.t-online.de-<xy>.pem das neue, muss man natï¿œrlich auch
openssl x509 -in secureimap.t-online.de-<xy>.pem -noout -fingerprint -md5
nutzen, um den aktuellen Fingerprint zu bekommen.
> Mittels "/var/install/bin/certs-request-cert -replace -writecert pop3
> securepop.t-online.de" werden durch das "-replace" die alten gelï¿œscht
> und alles passt. Zumindest war es bei mir so.
Ist besser, die "verbrauchten" Zertifikate nicht rumliegen zu lassen, das
verwirrt nur.
--
Gruss Marcus
Dirk Alberti wrote:
> Ich habe die Erfahrung gemacht, dass die Zertifikate durchnummeriert
> abgespeichert werden, wenn man die alten nicht lï¿œscht. Also dann als
> securepop.-t-online.de-02.pem.
sein.
> Und dann werdn immer noch die Fingerprints der alten Zertifikate genommen.
Der Fingerprint wird ï¿œber folgenden Befehl angezeigt:
openssl x509 -in secureimap.t-online.de.pem -noout -fingerprint -md5
jedoch secureimap.t-online.de-<xy>.pem das neue, muss man natï¿œrlich auch
openssl x509 -in secureimap.t-online.de-<xy>.pem -noout -fingerprint -md5
nutzen, um den aktuellen Fingerprint zu bekommen.
> Mittels "/var/install/bin/certs-request-cert -replace -writecert pop3
> securepop.t-online.de" werden durch das "-replace" die alten gelï¿œscht
> und alles passt. Zumindest war es bei mir so.
verwirrt nur.
--
Gruss Marcus
Holger Bruenjes
Dec 20, 2013, 7:49:27 AM12/20/13
to
Hallo
Am 2013-12-20 13:37, schrieb Marcus Roeckrath:
>> Ich habe die Erfahrung gemacht, dass die Zertifikate durchnummeriert
>> abgespeichert werden, wenn man die alten nicht lï¿œscht. Also dann als
>> securepop.-t-online.de-02.pem.
>
> Wenn man certs_request_cert benutzt kann das je nach gewï¿œhlten Optionen
> sein.
>
>> Und dann werdn immer noch die Fingerprints der alten Zertifikate genommen.
>
> Wer sollte es nehmen?
in der Funktion -replace ist leider noch ein Fehler, der die alten
Zertifikate 'nicht' nach ./old veschiebt. Das ist in der svn Version
schon behoben.
Holger
Am 2013-12-20 13:37, schrieb Marcus Roeckrath:
>> Ich habe die Erfahrung gemacht, dass die Zertifikate durchnummeriert
>> abgespeichert werden, wenn man die alten nicht lï¿œscht. Also dann als
>> securepop.-t-online.de-02.pem.
>
> Wenn man certs_request_cert benutzt kann das je nach gewï¿œhlten Optionen
> sein.
>
>> Und dann werdn immer noch die Fingerprints der alten Zertifikate genommen.
>
> Wer sollte es nehmen?
Zertifikate 'nicht' nach ./old veschiebt. Das ist in der svn Version
schon behoben.
Holger
Andreas Schmied
Dec 20, 2013, 8:18:50 AM12/20/13
to
Hallo zusammen
Am 20.12.2013 13:37, schrieb Marcus Roeckrath:
> Wenn secureimap.t-online.de.pem nun aber immer noch das alte Zertifikat ist,
> jedoch secureimap.t-online.de-<xy>.pem das neue, muss man natï¿œrlich auch
>
> openssl x509 -in secureimap.t-online.de-<xy>.pem -noout -fingerprint -md5
Das war mein Fehler!
Ich fing an zu Nummerieren, hatte aber den Fehler gemacht, dass man zum
Auslesen des Fingerprints ja die entsprechende Datei auswï¿œhlen muss.
Das es ja egal ist wie die Certifikate heissen, hatte ich mir darï¿œber
dann auch keinen Kopf gemacht.
Asche auf mein Haupt
Gruᅵ
Andreas
Am 20.12.2013 13:37, schrieb Marcus Roeckrath:
> Wenn secureimap.t-online.de.pem nun aber immer noch das alte Zertifikat ist,
> jedoch secureimap.t-online.de-<xy>.pem das neue, muss man natï¿œrlich auch
>
> openssl x509 -in secureimap.t-online.de-<xy>.pem -noout -fingerprint -md5
Ich fing an zu Nummerieren, hatte aber den Fehler gemacht, dass man zum
Auslesen des Fingerprints ja die entsprechende Datei auswï¿œhlen muss.
Das es ja egal ist wie die Certifikate heissen, hatte ich mir darï¿œber
dann auch keinen Kopf gemacht.
Asche auf mein Haupt
Gruᅵ
Andreas
Dirk Alberti
Dec 20, 2013, 12:57:03 PM12/20/13
to
heruntergeladen und automatisch fortlaufend durchnummeriert und wenn man
dann mit c&p den Befehl "openssl x509 -in secureimap.t-online.de.pem
-noout -fingerprint -md5" eingab, wie beschrieben, also ohne die
entsprechende Nummer, hat es nie gepasst, weil ja nie das entsprechende
Zertifikat dazu benutzt wurde.
> Gruᅵ
> Andreas
>
Gruᅵ
Dirk
Dirk Alberti
Dec 20, 2013, 1:03:18 PM12/20/13
to
Am 20.12.2013 13:37, schrieb Marcus Roeckrath:
> Hallo Dirk,
>
> Dirk Alberti wrote:
>
>> Ich habe die Erfahrung gemacht, dass die Zertifikate durchnummeriert
>> abgespeichert werden, wenn man die alten nicht löscht. Also dann als
>
> Dirk Alberti wrote:
>
>> Ich habe die Erfahrung gemacht, dass die Zertifikate durchnummeriert
>> securepop.-t-online.de-02.pem.
> Wenn man certs_request_cert benutzt kann das je nach gewählten Optionen
> sein.
>
>> Und dann werdn immer noch die Fingerprints der alten Zertifikate genommen.
> Wer sollte es nehmen?
>
> Der Fingerprint wird über folgenden Befehl angezeigt:
>
>> Und dann werdn immer noch die Fingerprints der alten Zertifikate genommen.
> Wer sollte es nehmen?
>
>
> openssl x509 -in secureimap.t-online.de.pem -noout -fingerprint -md5
>
> Wenn secureimap.t-online.de.pem nun aber immer noch das alte Zertifikat ist,
> jedoch secureimap.t-online.de-<xy>.pem das neue, muss man natürlich auch
> openssl x509 -in secureimap.t-online.de.pem -noout -fingerprint -md5
>
> Wenn secureimap.t-online.de.pem nun aber immer noch das alte Zertifikat ist,
>
> openssl x509 -in secureimap.t-online.de-<xy>.pem -noout -fingerprint -md5
>
> nutzen, um den aktuellen Fingerprint zu bekommen.
Eben! Nur woher soll man das wissen. Ich habe fleißig die Zertifikate
> openssl x509 -in secureimap.t-online.de-<xy>.pem -noout -fingerprint -md5
>
> nutzen, um den aktuellen Fingerprint zu bekommen.
heruntergeladen und mich immer gewundert, dass der Fingerprint nicht
passte. Bis ich irgendwann feststellte, dass die Zertifikate nicht
ersetzt, sondern fortlaufend nummeriert wurden.
>> Mittels "/var/install/bin/certs-request-cert -replace -writecert pop3
>> securepop.t-online.de" werden durch das "-replace" die alten gelöscht
>> und alles passt. Zumindest war es bei mir so.
> Ist besser, die "verbrauchten" Zertifikate nicht rumliegen zu lassen, das
> verwirrt nur.
Das heißt? Mache ich das mit dem zusätzlichen "-replace" richtig?
> Ist besser, die "verbrauchten" Zertifikate nicht rumliegen zu lassen, das
> verwirrt nur.
Denn sonst werden sie ja wieder fortlaufend nummeriert gespeichert, und
es kann passieren, dass ich das falsche nehme, um den Fingerprint
raus´zuholen.
Gruß
Dirk
Holger Bruenjes
Dec 20, 2013, 1:09:09 PM12/20/13
to
Hallo Dirk
Am 2013-12-20 19:03, schrieb Dirk Alberti:
> Das heißt? Mache ich das mit dem zusätzlichen "-replace" richtig?
> Denn sonst werden sie ja wieder fortlaufend nummeriert gespeichert, und
> es kann passieren, dass ich das falsche nehme, um den Fingerprint
> raus´zuholen.
Wie ich schon geschrieben habe, es ist noch ein Fehler in der
Funktion -replace, die das verschieben in ./old verhindert.
@@ -215,7 +219,7 @@
if [ ${replaceflag} -eq 1 ]
then
# replace an exsiting certificate file
- if [ ! -f ${outfile} ]
+ if [ -f ${outfile} ]
then
if [ ! -d ${oldcertdir} ]
then
Holger
Am 2013-12-20 19:03, schrieb Dirk Alberti:
> Das heißt? Mache ich das mit dem zusätzlichen "-replace" richtig?
> Denn sonst werden sie ja wieder fortlaufend nummeriert gespeichert, und
> es kann passieren, dass ich das falsche nehme, um den Fingerprint
> raus´zuholen.
Funktion -replace, die das verschieben in ./old verhindert.
@@ -215,7 +219,7 @@
if [ ${replaceflag} -eq 1 ]
then
# replace an exsiting certificate file
- if [ ! -f ${outfile} ]
+ if [ -f ${outfile} ]
then
if [ ! -d ${oldcertdir} ]
then
Holger
0 new messages