Gmail: SSL error: self signed certificate

Seit dem 12. Dezember 2012 akzeptiert Gmail keine Self-Signed-Certificates mehr, wenn man seine Mails von fremden Konten abholen lässt.

Was kann man also machen, wenn man einen eigenen Mail-Server betreibt und seine Mails im Gmail Konto sehen möchte?

Hier sind die Schritte, die ich gemacht habe um meinen Courier POP3-Server über SSL zu betreiben:

  1. Ein Zertifikat von einer Zertifizierungsstelle besorgt. Gratis bekommt man das z.B. von startssl.com.
  2. Folgende Dateien habe ich benötigt:
    1. ca-bundle.pem von der Zertifizierungsstelle. Bei StartSSL ist diese hier zu finden: http://www.startssl.com/certs/ca-bundle.pem.
      Dieses habe ich in /etc/ssl/certs/ca-bundle.pem gespeichert und den folgenden Befehl ausgeführt:

      # c_rehash /etc/ssl/certs/
    2. ca.pem von der Zertifizierungsstelle. Bei StartSSL ist diese hier zu finden: http://www.startssl.com/certs/ca.pem. Gespeichert unter /etc/ssl/certs/ca.pem
    3. „Das Zertifikat“ in /etc/ssl/certs/ssl.crt gespeichert. Es hat folgendes Format:
      -----BEGIN CERTIFICATE-----
      [TEXT]
      -----END CERTIFICATE-----
    4. „Den Schlüssel“ in /etc/ssl/private/ssl.key gespeichert. Er hat folgendes Format:
      -----BEGIN RSA PRIVATE KEY-----
      [TEXT]
      -----END RSA PRIVATE KEY-----
  3. Das Zertifikat und der Schlüssel wird folgendermaßen miteinander verbunden:
    # cat /etc/ssl/certs/ssl.crt /etc/ssl/private/ssl.key >/etc/ssl/private/example.com.pem
  4. Den Courier POP3-Server konfiguriert (folgende Zeilen in /etc/courier/pop3d-ssl bearbeitet):
    TLS_TRUSTCERTS=/etc/ssl/certs/ca.pem
    TLS_CERTFILE=/etc/ssl/private/example.com.pem
  5. Den POP-Server neu gestartet:
    # /etc/init.d/courier-pop-ssl restart

Danach sollte Gmail wieder die Emails automatisch aus dem Postfach abholen.

Zum Debuggen kann man folgenden Befehl verwenden:

# openssl s_client -connect example.com:995

oder

# openssl s_client -connect example.com:995 -debug

Sollte der Fehler „unable to verify the first certificate“ auftreten, so wurde vermutlich Schritt 2.1 nicht richtig ausgeführt.

Viel Erfolg!


Beitrag veröffentlicht

in

,

von

Schlagwörter:

Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.