KurtM
Erstellte Forenantworten
-
Beiträge
-
Hallo Jens,
die letzen zwei Beiträge sind noch von heute Nachmittag. Ich dachte es hätte einen Timeout gegeben und sie wären verschluckt worden.
Ich habe eine Lösung!
Nicht ganz perfekt aber immerhin. Ich habe mir ein Zertifikat mit Lets Encrypt angefertigt und selbiges für „meine-kanzlei.de“ nur für Port 465 im Mail-Server eingetragen. Der Gedanke war, dass das zugehörige root-ca bestimmt in den cacerts enthalten ist. Getroffen!
Zu Sectigo habe ich noch folgenden Eintrag gefunden. Unter deren Menüeintrag „keystore“
(https://www.sectigo.com/knowledge-base/detail/Sectigo-Public-Intermediates-and-Roots/kA0Uj0000003eov) stehen die CA-Zertifikate bereit. Bei Gelegenheit werde ich versuchen diese im Testsystem mit keystore-explorer in den Cacerts einzutragen.Grüße Kurt
Hallo Jens, Danke für die Info und entschuldige die Störungen.
Ich walte jetzt meines Amtes und maile und telefoniere mit Cectigo, was für eine Freude.
Wenigstens bin ich nicht der einzige:
https://linux.debian.bugs.dist.narkive.com/C9fBe4gH/bug-1095913-ca-certificates-missing-mozilla-sectigo-public-server-authentication-root-r46-crt-in
https://lists.debian.org/debian-lts/2025/02/msg00028.html
So am Rande: Wäre es für mich möglich das geforderte Zertifikat mit keytool.exe -import… einzutragen (nur theoretisch) ?Ansonsten :Die Software ist toll! So wie ich das als Gegegenheitsadmin sehe, sind die Benutzer sehr zufrieden mit dem Produkt!
Ich melde mich sobald ich das Problem gelöst habe.Grüße
KurtHallo Jens,
Ja, so habe ich die Antworten von Sectigo auch verstanden. Das neue hat zwei zwischen-CA bis es im vierten Schritt bei
„CN=USERTrust RSA Certification Authority,O=The USERTRUST Network,L=Jersey City,ST=New Jersey,C=US“ endet.
Das alte hatte nur eine.
Diese „Zwischen-CA“ sind in der jeweiligen cacerts-Datei von j-lawyer-Client und Server nicht enthalten.Das Problem ist die Geschwindigkeit mit der ich von Sectigo ein neues Zertifikat erhalte. Ich habe heute um ca.15:00 die letzte Mail geschrieben und seit dem keine Antwort mehr erhalten. Die Verifizierung des jetzigen Zertifikats für 2025 bis August 2026 hat ca. 5 Tage gebraucht. Das heisst, das für 5 Werktage improvisiert werden muss. (Mails mit Thunderbird schreiben, Mail-Anlagen hin und herkopieren, etc.)
Zum Zertifikat habe ich noch folgendes zu bemerken:
Es ist so, dass auch andere Programme an diesen Zertifikaten scheitern (z.B. https://lists.debian.org/debian-lts/2025/02/msg00028.html ).
Die Problemmeldungen decken sich mit den Einführungsterminen von sectigo (https://www.sectigo.com/sectigo-public-root-cas-migration)Jetzt ist erstmal Schluss, morgen geht es weiter.
Ansonsten möchte ich ein großes Lob für die Software aussprechen – das Programmpaket ist super!Grüße
KurtHallo Jens,
Ja, so habe ich die Antworten von Sectigo auch verstanden. Das neue hat zwei zwischen-CA bis es im vierten Schritt bei
„CN=USERTrust RSA Certification Authority,O=The USERTRUST Network,L=Jersey City,ST=New Jersey,C=US“ endet.
Das alte hatte nur eine.
Diese „Zwischen-CA“ sind in der jeweiligen cacerts-Datei von j-lawyer-Client und Server nicht enthalten.Das Problem ist die Geschwindigkeit mit der ich von Sectigo ein neues Zertifikat erhalte. Ich habe heute um ca.15:00 die letzte Mail geschrieben und seit dem keine Antwort mehr erhalten. Die Verifizierung des jetzigen Zertifikats für 2025 bis August 2026 hat ca. 5 Tage gebraucht. Das heisst, das für 5 Werktage improvisiert werden muss. (Mails mit Thunderbird schreiben, Mail-Anlagen hin und herkopieren, etc.)
Jetzt ist erstmal Schluss, morgen geht es weiter.
Ansonsten möchte ich ein großes Lob für die Software aussprechen – das Programmpaket ist super!Grüße
KurtHallo Jens,
eine Frage habe ich noch:
wenn ich den Server laut Handbuch, wie folgt als vertrauesnwürdig eintragen möchte:
setsetting mail.imaps.ssl.trust kanzlei-server.de
bin ich in der Lage Mails zu sehen (imap) ok – jedoch kann ich keine Mails versenden. Es erscheint der SMPT Fehler PKIX…
Hierfür müsste ich vermutlich etwas wie kanzlei-server.de:465 eintragen.
Tue ich das, ist kein Mailempfang mehr möglich, versenden geht aber auch nicht.
Trage ich eine komma-separierte Liste ein gibt es Probleme:
syntaktisch akzeptiert wird:
kanzlei-server.de:465,kanzlei-server.de (hat aber keine Wirkung)
nicht akzeptiert wird:
kanzlei-server.de:465 , kanzlei-server.de (space vor und nach Komma)
Wie ist die genaue Syntax hierfür?
Oder gibt es auch den schlüssel mail.SMTP.ssl.trust ?Grüße
KurtHallo Jens!
ich habe es versucht- klappt leider nicht (sowohl domain-namen.de alleine, wie auch domain-name.de:465 , wie auch beide komma-separiert. AV oder Proxy scheiden aus – sind nicht vorhanden auf der Testmaschine bzw. im lokalen Netz.
Allerdings habe ich auch den Zertifikatsaussteller cectigo angeschrieben und auf das Problem aufmerksam gemacht, da ich einfach den Verdacht habe, dass das Zertifikat nich ok ist – und sieh einer an, die schreiben folgendes:
—-
…We would like to inform you that order#123456789 (xxxx-xxxx.de) was issued under the new root „Sectigo Public Server Authentication Root R46“. While this is fully supported by modern systems, it may cause compatibility issues on legacy systems. To resolve this issue, we recommend reissuing the certificate under the old root „USERTrust RSA Certification Authority“. This should help eliminate the trust issue you are experiencing….
—-
Evtl. ist das für Dich eine hilfreiche Info – Ich bin ab hier raus und beantrage beim Aussteller besagtes Zertifikat nach altem Kochrezept.
Grüße
KurtHallo Jens!
Ich danke dir für die schnelle Antwort! Sorry, ich habe das Handbuch vergessen… Ich klär das sofort. Hoffentlich ist es so wie Du schreibst. Der AV oder ein Proxy ist es dieses mal nicht.
Ich melde mich, egal wie esausgeht.
Grüße
KurtHallo Jens,
Deine Vermutung war korrekt. Avast hat „gewirkt“. Der Parameter „geek:area“/“Scan SSL Connections“ löst das Problem aus, bzw., wenn deaktiviert, behebt das Problem.
Danke für die Unterstützung!
viele Grüße
KurtHier noch ein Link auf die Support-Seite von avast
https://support.avast.com/de-de/article/Troubleshoot-invalid-Antivirus-email-certificate#pc
