Ich habe vor kurzem ein Upgrade auf Debian Weezy und froxlor durchgef?hrt. (Neuer Server, Mininstall Weezy, froxlor, anschliessend Datenmigration.) Alle Versionen sind Standard und die Konfigurationsdateien wie von Froxlor vorgeschlagen, ausser der M?glichkeit, f?r SMTP/POP3/IMAP TLS und SSL zu unterst?tzen. (Postfix/Dovecot) Die Zertifikate daf?r sind von meiner eigenen CA und inzwischen mehrere Jahre alt und wurden bereits vorher erfolgreich eingesetzt.
Seit der Umstellung funktioniert nun Windows 8 in Kombination mit Outlook 2013 bei SSL/TLS nicht mehr. Outlook 2013 auf Windows 7 funktioniert, Thunderbird und IMAPSize auf Windows 8 funktioniert.
Die n?here Fehleranalyse zeigt im Log von dovecot und Postfix die selbe Fehlermeldung:
Postfix:
May 6 10:48:28 froxlor postfix/smtpd[24287]: SSL_accept:failed in SSLv3 read client certificate A
May 6 10:48:28 froxlor postfix/smtpd[24287]: SSL_accept error from xxx.t-ipconnect.de[84.152.x.x]: lost connection
Dovecot:
May 06 21:05:43 imap-login: Warning: SSL: where=0x2002, ret=-1: SSLv3 read client certificate A [78.42.x.x]
May 06 21:05:43 imap-login: Warning: SSL: where=0x2002, ret=-1: SSLv3 read client certificate A [78.42.x.x]
May 06 21:05:43 imap-login: Warning: SSL failed: where=0x2002: SSLv3 read client certificate A [78.42.x.x]
May 06 21:05:43 imap-login: Info: Disconnected (no auth attempts in 0 secs): user=<>, rip=78.42.x.x, lip=144.76.x.x, TLS handshaking: Disconnect
Outlook 2013:
IMAP: 12:30:02 [db] Mit 'mail.xxx.de' wird eine Verbindung an Port 143 hergestellt.
[snip]
IMAP: 12:30:02 [rx] * OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE IDLE STARTTLS AUTH=PLAIN AUTH=LOGIN AUTH=DIGEST-MD5 AUTH=CRAM-MD5] Welcome at mail.xxx.de
[snip]
IMAP: 12:30:02 [rx] hmpc OK Pre-login capabilities listed, post-login capabilities have more.IMAP: 12:30:02 [tx] ekum STARTTLS
IMAP: 12:30:02 [db] OnNotify: asOld = 5, asNew = 5, ae = 3
IMAP: 12:30:02 [rx] ekum OK Begin TLS negotiation now.
IMAP: 12:30:02 [db] Mit 'Microsoft Unified Security Protocol Provider' wird eine sichere Verbindung ausgehandelt.
IMAP: 12:30:02 [db] OnNotify: asOld = 5, asNew = 6, ae = 2
IMAP: 12:30:03 [db] Die Verbindung mit 'mail.xxx.de' wurde geschlossen.
IMAP: 12:30:03 [db] OnNotify: asOld = 6, asNew = 0, ae = 5
IMAP: 12:30:03 [db] ERROR: "Es kann keine sichere Verbindung mit dem Server hergestellt werden.", hr=2148322330
Da es auf den meissten Clients funktioniert, kann es kein grunds?tzliches Problem mit der Konfiguration oder den Zertifikaten sein. Zudem hat das auch unter Win8 mit Outlook vor der Migration (auf den alten Versionen von Dovecot/Postfix/openSSL) funktioniert.
Es kann auch kein Problem mit Postfix/Dovecot sein, da es bereits im TLS/SSL-Handshake scheitert.
Ein wesentlicher Unterschied scheint mir zu sein, dass Weezy nun TLS1.2 und SSL3 unterst?tzt. Das scheint mir in Kombination mit dem Microsoft Unified Security Protocol Provider ein Problem zu geben. Suchen im Netz sind leider nicht sonderlich ergiebig.
Hat jemand schon einmal dieses Problem gehabt und gel?st?
Question
SebastianG
Hallo
Ich habe vor kurzem ein Upgrade auf Debian Weezy und froxlor durchgef?hrt. (Neuer Server, Mininstall Weezy, froxlor, anschliessend Datenmigration.) Alle Versionen sind Standard und die Konfigurationsdateien wie von Froxlor vorgeschlagen, ausser der M?glichkeit, f?r SMTP/POP3/IMAP TLS und SSL zu unterst?tzen. (Postfix/Dovecot) Die Zertifikate daf?r sind von meiner eigenen CA und inzwischen mehrere Jahre alt und wurden bereits vorher erfolgreich eingesetzt.
Seit der Umstellung funktioniert nun Windows 8 in Kombination mit Outlook 2013 bei SSL/TLS nicht mehr. Outlook 2013 auf Windows 7 funktioniert, Thunderbird und IMAPSize auf Windows 8 funktioniert.
Die n?here Fehleranalyse zeigt im Log von dovecot und Postfix die selbe Fehlermeldung:
Postfix:
Dovecot:
Outlook 2013:
Da es auf den meissten Clients funktioniert, kann es kein grunds?tzliches Problem mit der Konfiguration oder den Zertifikaten sein. Zudem hat das auch unter Win8 mit Outlook vor der Migration (auf den alten Versionen von Dovecot/Postfix/openSSL) funktioniert.
Es kann auch kein Problem mit Postfix/Dovecot sein, da es bereits im TLS/SSL-Handshake scheitert.
Ein wesentlicher Unterschied scheint mir zu sein, dass Weezy nun TLS1.2 und SSL3 unterst?tzt. Das scheint mir in Kombination mit dem Microsoft Unified Security Protocol Provider ein Problem zu geben. Suchen im Netz sind leider nicht sonderlich ergiebig.
Hat jemand schon einmal dieses Problem gehabt und gel?st?
Gr?sse
Sebastian
Link to comment
Share on other sites
4 answers to this question
Recommended Posts
Archived
This topic is now archived and is closed to further replies.