Rootserver – Haikos Blog

SSL-Zertifikat Kurzform

Haiko — Thu, 18 Dec 2008 17:11:58 +0000

openssl req -new -newkey rsa:1024 -nodes -keyout mailserver.key -days 3650 -x509 -out mailserver.crt

openssl x509 -outform der -in mailserver.crt -out handy.crt

SSL-Zertifikat erneuern

Haiko — Thu, 18 Dec 2008 13:58:20 +0000

Der Dovecot IMAP/POP3-Server istalliert standardmäßig ein Zertifikat, das nach einem Jahr ausläuft. Um das Zertifikat zu erneuern, sind folgende Schritte erforderlich.

[..]

Generiert wird ein neues Zertifikat, das erst nach fünf Jahren abläuft:

sudo cp /etc/ssl/private/ssl-cert-snakeoil.key /etc/ssl/private/ssl-cert-snakeoil.key-backup
sudo cp /etc/ssl/certs/ssl-cert-snakeoil.pem /etc/ssl/certs/ssl-cert-snakeoil.pem-backup

openssl genrsa -out server.key 1024
openssl req -new -x509 -key server.key -out server.pem -days 1826

In das selbstsignierte Zertifikat werden nun die üblichen Parameter eingetragen (Country Code, Unternehmensname, Domain, Postmaster etc.).

sudo mv server.key /etc/ssl/private/ssl-cert-snakeoil.key
sudo mv server.pem /etc/ssl/certs/ssl-cert-snakeoil.pem
sudo /etc/init.d/dovecot restart

Dovecot generiert nun /etc/ssl/certs/dovecot.pem und /etc/ssl/private/dovecot.pem, die noch gelöscht oder umbenannt werden müssen:

sudo rm /etc/ssl/certs/dovecot.pem
sudo rm /etc/ssl/private/dovecot.pem

Anschließend werden symbolische Links auf die neuen Zentifikat-Dateien angelegt:

sudo ln -s /etc/ssl/certs/ssl-cert-snakeoil.pem /etc/ssl/certs/dovecot.pem
sudo ln -s /etc/ssl/private/ssl-cert-snakeoil.key /etc/ssl/private/dovecot.pem

Quelle: http://www.kefk.org/blog

IMAP SSL Zertifikat auf E61i (Series 60)

Haiko — Fri, 23 May 2008 09:41:28 +0000

Der IMAP-CLient meines E61i stört sich daran, das er das SSL-Zertifikat meines IMAP-Servers nicht bestätigen kann, da ich es in einer eigenen CA selber erstellt habe. Daher wollte ich einfach das Zertifikat importieren. Nach langem Probieren habe ich nun auch herausgefunden, wie das funktioniert:

Das Zertifikat muss im DER-Format als *.crt Datei vorliegen
„openssl x509 -outform der -in cert.pem -out cert.crt“ wandelt das Zertifikat in das notwendige Format um
Dann das Zertifikat auf das Handy kopieren und die Datei im Dateimanager auf dem Handy öffnen
Ein Dialog öffnet sich und man kann das Zertifikat auf dem Handy installieren.
Danach nervt der Mail-Client nicht mehr!

SASL authentication failure

Haiko — Mon, 31 Mar 2008 20:12:54 +0000

Was tun, wenn folgende Meldung auftaucht:

Mar 31 21:40:08 hertes postfix/smtpd[18321]: warning: SASL authentication failure: cannot connect to saslauthd server: Connection refused
mountMar 31 21:40:08 hertes postfix/smtpd[18321]: warning: SASL authentication failure: Password verification failed

Diese Frage stellte sich mir heute nach dem Reboot meines Mailservers. Die Antwort: Ein Link fehlte!

mount --bind /var/run/saslauthd /var/spool/postfix/var/run/saslauthd/

Hackerangriff

Haiko — Tue, 16 Oct 2007 15:44:02 +0000

Heute morgen hat ein nicht ganz findiger Hacker eine Sicherheitslücke bei irgendeinem mir vorher unbekannten Provider ausgenutzt, um sich von dessen Servern auf andere Server zu hacken. Bei mir hat er versucht, sich per SSH einzuwählen, dem Log zufolge sieht das nach handgemachter BruteForce aus. Ein Anruf bei dem Provider brachte Klärung, obwohl mir unklar ist, wieso dieser seine Server während der Installation ungesichert ins Internet hängt.

Serverumzug geglückt

Haiko — Wed, 10 Oct 2007 16:24:34 +0000

In den letzten Tagen ist ein Großteil meiner Webseiten auf einen neuen Server umgezogen, alles hat soweit geklappt.