fetchmail und SSL (10.7)

roedert

Aktives Mitglied
Thread Starter
Dabei seit
05.01.2011
Beiträge
12.138
Reaktionspunkte
3.304
fetchmail holt bei mir schon lange Mails bei imap.1und1.de und bei imap.mail.me.com per SSL ab.
Dazu habe ich damals irgendwann mal die richtigen Zertifikate besorgt und unter /System/Library/OpenSS/certs abgelegt ... hat auch prima funktioniert.

1&1 hat nun wohl irgendwann sein Zertifikat geändert (von Thawte auf Telekom) - also habe ich das neue entsprechende Zertifikat auch installiert.
Doch fetchmail nimmt es nicht ... fetchmail liefert immer noch

Code:
fetchmail: Server certificate verification error: self signed certificate in certificate chain
fetchmail: This means that the root signing certificate (issued for /C=DE/O=Deutsche Telekom AG/OU=T-TeleSec Trust Center/CN=Deutsche Telekom Root CA 2) is not in the trusted CA certificate locations, or that c_rehash needs to be run on the certificate directory. For details, please see the documentation of --sslcertpath and --sslcertfile in the manual page.
fetchmail: Warning: the connection is insecure, continuing anyways. (Better use --sslcertck!)

Diverse Versuche mit c_rehash hatten zum Erfolg, dass auch das Zertikat für den Apple-IMAP nicht mehr genommen wird .. ohne dass ich an den Zertifikatsdateien selbst etwas geändert hätte.

Code:
fetchmail: Server certificate verification error: unable to get local issuer certificate
fetchmail: This means that the root signing certificate (issued for /C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=(c) 2006 VeriSign, Inc. - For authorized use only/CN=VeriSign Class 3 Public Primary Certification Authority - G5) is not in the trusted CA certificate locations, or that c_rehash needs to be run on the certificate directory. For details, please see the documentation of --sslcertpath and --sslcertfile in the manual page.

Der Mac-Testserver (Mac OS 10.9 mit macports-fetchmail) hat das gleiche Telekom-Zertifikat sofort akzeptiert

Hat noch wer irgendwelche Ideen?
 
im ersten fehler steht doch, dass das root zertifikat fehlt, also das mit dem signiert wurde.
hast mal nach dem geschaut?
 
Ja klar fehlen im die Zertifikate - aber ich habe sie ja wie geschrieben bereits in /System/Library/OpenSSl/certs abgelegt ... genau die aus der Quelle aus #3.
Aber fetchmail erkennt sie nicht ... auch nicht nach einen c_rehash.

Das Zertifikat selbst ist ok ... habe wie gesagt noch einen Testserver unter 10.9 .... dort die gleiche Fehlermeldung, nachdem ich http://www.telesec.de/downloads/DT-Root-CA-2.cer nach /System/Library/OpenSSL/certs kopiert hatte war der Fehler weg ... aber genau das klappt auf dem "Produktivserver" unter 10.7 nicht?
 
Wo kommt denn das fetchmail binary her?
Von MacPorts oder Homebrew?

Falls ja liegt der Store für die Zertifikate ja vermutlich woanders...

EDIT:

Damit meine ich: Was sagt

which fetchmail
 
Wo kommt denn das fetchmail binary her?

10.7 .... da war der fetchmail noch bei Apple bei
Es hat ja auch mal funktioniert - das bisherige 1&1-Zertifikat von Thawte habe ich ja damals auch selbst installiert ... nur das neue Telekom-cert eben nicht. Und nach meinen Spielereien mit c_rehash nimmt er auch nicht mehr das Zertifikat für den Apple-IMAP an.

Der Testserver (auf dem es ja funktioniert) ist 10.9 mit macports fetchmail .... aber auch mit Angabe von --sslcertpath funktioniert es nicht.
 
dann schau doch mal im schlüsselbund nach, ob da nicht ein cert stört, weil doppelt und eins nicht vertrauenwürdig?
was sagt passiert denn, wenn du mit openssl mal ein verify machst?
kriegst da auch einen fehler?
 
also ich konnte fetchmail unter 10.7 nicht mehr überreden, die Zertifikate zu akzeptieren.
openssl verify auf die einzelnen Zertifikatsdateien sagt ok, die Zertifikate in ein neues Verzeichnis gelegt und dieses mittels sslcertpath mitgegeben .... trotzdem der gleiche Fehler.

Ich konnte fetchmail nun jedoch trotzdem dazu überreden ssl zu nutzen, indem ich ihm die einzelnen sslfingerprints der Mailserver in der config eingetragen habe .....
 
Zurück
Oben Unten