- This topic has 4 Antworten, 2 Stimmen, and was last updated vor 11 minutes by
.
-
Beiträge
-
Hallo an alle,
ein Jahr ist rum, und ich musste das Zertifikat des Web- + Mail-Servers aktualisieren. (Aussteller Sectigo ,gültig von August 25 bis August 26).
Das Zertifikat wurde ausgetauscht nachdem j-lawyer einmalig das veraltete Zertifikat des letzten Jahres reklamiert hat.Nach dem Austausch des alten Zertifikats durch das Aktuelle habe ich die Pop-, Smtp- und IMAP-Verbindungen mit externen Werkzeugen getestet.
Alle Werkzeuge (Mx-Tools, Open ssl, Test mit Thunderbird) zeigen mir, dass das Zertifikat korrekt hinterlegt ist. Allerdings scheint es doch irgendwie nicht auszureichen. In j-lawyer-Client erscheint die Meldung
—–
„Could not connect to SMTP host…. port 465:
PKIX path building failed …
unable to find valid certification path to requested target.“
—–
Da ich im letzten Jahr mit der selben Meldung gekämpft habe und dabei der Virenscanner AVAST als Problem ausgemacht wurde, teste ich jetzt auf Rechnern ohne Virenscanner.
(siehe https://www.j-lawyer.org/?topic=smtp-fehler-auf-manchen-rechnern-win11-trotz-erfolgreichem-testversand)
Allerdings komme ich nicht dahinter wo der Fehler liegt.
Aktuelle Massnahmen
-Neues gültiges Zertifikat im WEB-Server hinterlegt, dns-Test und Mail-Kontrolle mit MX-Tools und Thunderbird
-j-lawyer Service Neustart
-j-lawyer Server Neustart
-Client Neustarts
-Überprüfung der Email-Verbindungsdaten in j-lawyer.
Das Ergebnis ist weiterhin obige Meldung.
Der Fehler erscheint bereits im Konfigurationsdialog für E-Mail-Postfächer beim Betätigen der Schaltfläche „Einstellungen testen“.
Betriebssystem für Tests: Server2012 R1 und Windows 11pro
Was mache ich falsch?
Grüße
Kurt MöllerDer Dienst vertraut entweder dem Zertifikat oder der CA nicht, oder ein AV bricht die Verschlüsselung auf und jubelt ein Zertifikat unter.
Ggf. dem Mailserver einfach vertrauen (Handbuch, „Mailserver als vertrauenswürdig deklarieren“).
VG
Jens / j-lawyer.orgHallo Jens!
Ich danke dir für die schnelle Antwort! Sorry, ich habe das Handbuch vergessen… Ich klär das sofort. Hoffentlich ist es so wie Du schreibst. Der AV oder ein Proxy ist es dieses mal nicht.
Ich melde mich, egal wie esausgeht.
Grüße
KurtHallo Jens!
ich habe es versucht- klappt leider nicht (sowohl domain-namen.de alleine, wie auch domain-name.de:465 , wie auch beide komma-separiert. AV oder Proxy scheiden aus – sind nicht vorhanden auf der Testmaschine bzw. im lokalen Netz.
Allerdings habe ich auch den Zertifikatsaussteller cectigo angeschrieben und auf das Problem aufmerksam gemacht, da ich einfach den Verdacht habe, dass das Zertifikat nich ok ist – und sieh einer an, die schreiben folgendes:
—-
…We would like to inform you that order#123456789 (xxxx-xxxx.de) was issued under the new root „Sectigo Public Server Authentication Root R46“. While this is fully supported by modern systems, it may cause compatibility issues on legacy systems. To resolve this issue, we recommend reissuing the certificate under the old root „USERTrust RSA Certification Authority“. This should help eliminate the trust issue you are experiencing….
—-
Evtl. ist das für Dich eine hilfreiche Info – Ich bin ab hier raus und beantrage beim Aussteller besagtes Zertifikat nach altem Kochrezept.
Grüße
KurtJa, das wäre dann der oben genannte Fall „der CA wird nicht vertraut“. Die Informationen zu Root-Zertifikaten stehen in einem sogenannten Trust Store – bei Linux an zentraler Stelle und jederzeit aktualisierbar, bein Windowssystemen sind sie Teil der Java Runtime, die von mir nur im Rahmen von j-lawyer-Updates aktualisiert werden kann.
VG
Jens / j-lawyer.org
- Du musst angemeldet sein, um zu diesem Thema eine Antwort verfassen zu können.