- This topic has 11 Antworten, 2 Stimmen, and was last updated vor 1 months, 3 weeks by
.
-
Beiträge
-
Hallo an alle,
ein Jahr ist rum, und ich musste das Zertifikat des Web- + Mail-Servers aktualisieren. (Aussteller Sectigo ,gültig von August 25 bis August 26).
Das Zertifikat wurde ausgetauscht nachdem j-lawyer einmalig das veraltete Zertifikat des letzten Jahres reklamiert hat.Nach dem Austausch des alten Zertifikats durch das Aktuelle habe ich die Pop-, Smtp- und IMAP-Verbindungen mit externen Werkzeugen getestet.
Alle Werkzeuge (Mx-Tools, Open ssl, Test mit Thunderbird) zeigen mir, dass das Zertifikat korrekt hinterlegt ist. Allerdings scheint es doch irgendwie nicht auszureichen. In j-lawyer-Client erscheint die Meldung
—–
„Could not connect to SMTP host…. port 465:
PKIX path building failed …
unable to find valid certification path to requested target.“
—–
Da ich im letzten Jahr mit der selben Meldung gekämpft habe und dabei der Virenscanner AVAST als Problem ausgemacht wurde, teste ich jetzt auf Rechnern ohne Virenscanner.
(siehe https://www.j-lawyer.org/?topic=smtp-fehler-auf-manchen-rechnern-win11-trotz-erfolgreichem-testversand)
Allerdings komme ich nicht dahinter wo der Fehler liegt.
Aktuelle Massnahmen
-Neues gültiges Zertifikat im WEB-Server hinterlegt, dns-Test und Mail-Kontrolle mit MX-Tools und Thunderbird
-j-lawyer Service Neustart
-j-lawyer Server Neustart
-Client Neustarts
-Überprüfung der Email-Verbindungsdaten in j-lawyer.
Das Ergebnis ist weiterhin obige Meldung.
Der Fehler erscheint bereits im Konfigurationsdialog für E-Mail-Postfächer beim Betätigen der Schaltfläche „Einstellungen testen“.
Betriebssystem für Tests: Server2012 R1 und Windows 11pro
Was mache ich falsch?
Grüße
Kurt MöllerDer Dienst vertraut entweder dem Zertifikat oder der CA nicht, oder ein AV bricht die Verschlüsselung auf und jubelt ein Zertifikat unter.
Ggf. dem Mailserver einfach vertrauen (Handbuch, „Mailserver als vertrauenswürdig deklarieren“).
VG
Jens / j-lawyer.orgHallo Jens!
Ich danke dir für die schnelle Antwort! Sorry, ich habe das Handbuch vergessen… Ich klär das sofort. Hoffentlich ist es so wie Du schreibst. Der AV oder ein Proxy ist es dieses mal nicht.
Ich melde mich, egal wie esausgeht.
Grüße
KurtHallo Jens!
ich habe es versucht- klappt leider nicht (sowohl domain-namen.de alleine, wie auch domain-name.de:465 , wie auch beide komma-separiert. AV oder Proxy scheiden aus – sind nicht vorhanden auf der Testmaschine bzw. im lokalen Netz.
Allerdings habe ich auch den Zertifikatsaussteller cectigo angeschrieben und auf das Problem aufmerksam gemacht, da ich einfach den Verdacht habe, dass das Zertifikat nich ok ist – und sieh einer an, die schreiben folgendes:
—-
…We would like to inform you that order#123456789 (xxxx-xxxx.de) was issued under the new root „Sectigo Public Server Authentication Root R46“. While this is fully supported by modern systems, it may cause compatibility issues on legacy systems. To resolve this issue, we recommend reissuing the certificate under the old root „USERTrust RSA Certification Authority“. This should help eliminate the trust issue you are experiencing….
—-
Evtl. ist das für Dich eine hilfreiche Info – Ich bin ab hier raus und beantrage beim Aussteller besagtes Zertifikat nach altem Kochrezept.
Grüße
KurtJa, das wäre dann der oben genannte Fall „der CA wird nicht vertraut“. Die Informationen zu Root-Zertifikaten stehen in einem sogenannten Trust Store – bei Linux an zentraler Stelle und jederzeit aktualisierbar, bein Windowssystemen sind sie Teil der Java Runtime, die von mir nur im Rahmen von j-lawyer-Updates aktualisiert werden kann.
VG
Jens / j-lawyer.orgHallo Jens,
eine Frage habe ich noch:
wenn ich den Server laut Handbuch, wie folgt als vertrauesnwürdig eintragen möchte:
setsetting mail.imaps.ssl.trust kanzlei-server.de
bin ich in der Lage Mails zu sehen (imap) ok – jedoch kann ich keine Mails versenden. Es erscheint der SMPT Fehler PKIX…
Hierfür müsste ich vermutlich etwas wie kanzlei-server.de:465 eintragen.
Tue ich das, ist kein Mailempfang mehr möglich, versenden geht aber auch nicht.
Trage ich eine komma-separierte Liste ein gibt es Probleme:
syntaktisch akzeptiert wird:
kanzlei-server.de:465,kanzlei-server.de (hat aber keine Wirkung)
nicht akzeptiert wird:
kanzlei-server.de:465 , kanzlei-server.de (space vor und nach Komma)
Wie ist die genaue Syntax hierfür?
Oder gibt es auch den schlüssel mail.SMTP.ssl.trust ?Grüße
Kurt?
Mit dem neuen Zertifikat (welches ein älteres CA-Zertifikat verwendet, wenn ich Dich recht verstanden habe) sollte das gar nicht mehr auftreten.
Hallo Jens,
Ja, so habe ich die Antworten von Sectigo auch verstanden. Das neue hat zwei zwischen-CA bis es im vierten Schritt bei
„CN=USERTrust RSA Certification Authority,O=The USERTRUST Network,L=Jersey City,ST=New Jersey,C=US“ endet.
Das alte hatte nur eine.
Diese „Zwischen-CA“ sind in der jeweiligen cacerts-Datei von j-lawyer-Client und Server nicht enthalten.Das Problem ist die Geschwindigkeit mit der ich von Sectigo ein neues Zertifikat erhalte. Ich habe heute um ca.15:00 die letzte Mail geschrieben und seit dem keine Antwort mehr erhalten. Die Verifizierung des jetzigen Zertifikats für 2025 bis August 2026 hat ca. 5 Tage gebraucht. Das heisst, das für 5 Werktage improvisiert werden muss. (Mails mit Thunderbird schreiben, Mail-Anlagen hin und herkopieren, etc.)
Jetzt ist erstmal Schluss, morgen geht es weiter.
Ansonsten möchte ich ein großes Lob für die Software aussprechen – das Programmpaket ist super!Grüße
KurtHallo Jens,
Ja, so habe ich die Antworten von Sectigo auch verstanden. Das neue hat zwei zwischen-CA bis es im vierten Schritt bei
„CN=USERTrust RSA Certification Authority,O=The USERTRUST Network,L=Jersey City,ST=New Jersey,C=US“ endet.
Das alte hatte nur eine.
Diese „Zwischen-CA“ sind in der jeweiligen cacerts-Datei von j-lawyer-Client und Server nicht enthalten.Das Problem ist die Geschwindigkeit mit der ich von Sectigo ein neues Zertifikat erhalte. Ich habe heute um ca.15:00 die letzte Mail geschrieben und seit dem keine Antwort mehr erhalten. Die Verifizierung des jetzigen Zertifikats für 2025 bis August 2026 hat ca. 5 Tage gebraucht. Das heisst, das für 5 Werktage improvisiert werden muss. (Mails mit Thunderbird schreiben, Mail-Anlagen hin und herkopieren, etc.)
Zum Zertifikat habe ich noch folgendes zu bemerken:
Es ist so, dass auch andere Programme an diesen Zertifikaten scheitern (z.B. https://lists.debian.org/debian-lts/2025/02/msg00028.html ).
Die Problemmeldungen decken sich mit den Einführungsterminen von sectigo (https://www.sectigo.com/sectigo-public-root-cas-migration)Jetzt ist erstmal Schluss, morgen geht es weiter.
Ansonsten möchte ich ein großes Lob für die Software aussprechen – das Programmpaket ist super!Grüße
KurtHallo Jens, Danke für die Info und entschuldige die Störungen.
Ich walte jetzt meines Amtes und maile und telefoniere mit Cectigo, was für eine Freude.
Wenigstens bin ich nicht der einzige:
https://linux.debian.bugs.dist.narkive.com/C9fBe4gH/bug-1095913-ca-certificates-missing-mozilla-sectigo-public-server-authentication-root-r46-crt-in
https://lists.debian.org/debian-lts/2025/02/msg00028.html
So am Rande: Wäre es für mich möglich das geforderte Zertifikat mit keytool.exe -import… einzutragen (nur theoretisch) ?Ansonsten :Die Software ist toll! So wie ich das als Gegegenheitsadmin sehe, sind die Benutzer sehr zufrieden mit dem Produkt!
Ich melde mich sobald ich das Problem gelöst habe.Grüße
KurtHallo Jens,
die letzen zwei Beiträge sind noch von heute Nachmittag. Ich dachte es hätte einen Timeout gegeben und sie wären verschluckt worden.
Ich habe eine Lösung!
Nicht ganz perfekt aber immerhin. Ich habe mir ein Zertifikat mit Lets Encrypt angefertigt und selbiges für „meine-kanzlei.de“ nur für Port 465 im Mail-Server eingetragen. Der Gedanke war, dass das zugehörige root-ca bestimmt in den cacerts enthalten ist. Getroffen!
Zu Sectigo habe ich noch folgenden Eintrag gefunden. Unter deren Menüeintrag „keystore“
(https://www.sectigo.com/knowledge-base/detail/Sectigo-Public-Intermediates-and-Roots/kA0Uj0000003eov) stehen die CA-Zertifikate bereit. Bei Gelegenheit werde ich versuchen diese im Testsystem mit keystore-explorer in den Cacerts einzutragen.Grüße Kurt
- Du musst angemeldet sein, um zu diesem Thema eine Antwort verfassen zu können.