Hallo,
On Monday 11 February 2002 16:55, Roland Müller wrote:
Hallo Leute,
[bitte bei neuem Thema neuen Thread anfangen. Danke]
ich habe einen Server der für mich die Mails bei GMX abholt und dann diese lokal speichert, bis ich die Mails dann von dort via Outlook abhole. Dafür habe ich Fetchmail eingesetzt um die Mails bei GMX mit SSL abzuholen und dann mit qpopper (über inetd) wieder bereitzustellen. Dafür habe ich dann auch qpopper mit den nötigen Optionen neu übersetzen müssen. So weit so gut, eine Zeit lang lief dieses Duo auch recht zufriedenstellend, aber seit neustem weigert sich fetchmail die Mails mit SSL abzuholen und wenn ich mit Outlook meine Mails abhole, bekomme ich die Meldung das ich zwar ein Sicherheitszertifikat verwenden würde, aber dieses mit einem Stammzertifikat enden würde, das der Vertrauensanbieter nicht als vertrauenswürdig eingestuft hat. Kurz, ich vermute es ist abgelaufen. Leider habe ich den Server schon vor einiger Zeit konfiguriert und habe mir natürlich keine Aufzeichnungen gemacht, wie ich damals diese(s) Zertifikat(e) eingerichtet habe.
Sorry für den Vollquote... aber ich glaub das sind 2 Probleme in einem :-) Wenn Fetchmail von GMX Mails abholt und in deinen QPopper-Spool ablegt, so ist das eine Operation. Wenn Outlook von QPopper Mails abholt, so ist das eine andere Operation. Da ich vermute, daß du OpenSSL verwendest, kann ich dir mit ziemlicher Sicherheit sagen daß beide nix mit einander zu tun haben. Also entweder muckt dein fetchmail, weil das GMX-Zertifikat "abgelaufen" ist, oder dein Outlook beschwert sich daß dein QPopper, falls er denn ebenfalls SSL verwendet, ein eventuell dort hinterlegtes selbstsigniertes Zertifikat verwendet was abgelaufen ist.
Hab ich das richtig aufgefasst?
Ein neues selbstsigniertes Zertifikat kannst du ganz einfach erstellen: openssl req -x509 -newkey rsa:1024 -keyout foo.pem -out foo.pem -days 365 -nodes Du kannst auch, mit etwa 3 openssl-Schritten mehr, deine eigene CA einrichten, aber das ist kompliziert und kann zu wirren OpenSSL-Fehlermeldungen führen.
Nun zu meiner Frage, kennt sich jemand mit diesen Zertifikaten, deren Erstellung u.s.w. aus und hängt das "fetchmail will auch kein SSL"-Problem u.U. damit zusammen? Ich will keine Zertifikate von irgendwelchen Zertifizierungsstellen zertifizieren lassen (vielleicht sogar noch kostenpflichtig...), sondern diese nach Möglichkeit selbst zertifizieren (für die nächsten 10 Jahre).
Fetchmail hat gar nix zu wollen :) OpenSSL ist im Vergleich zu z.B. GNUTLS sehr komplex, aber dafür halt ausgereifter, es sollte also funktionieren.
Zertifizierungsstellen sind für den Eigenbedarf unnütz und Geldverschwendung, eine eigene CA bauen macht ein kleines Web Of Trust um einiges sicherer, flexibler und unabhängiger, aber es gab/gibt halt den E-Commerce-Boom, wo Leute einen Herzinfarkt bekommen haben weil eine Root-CA mal nicht im Netscape war. Naja.
Josef Spillner