[10.13 High Sierra] Zertifikate - openssl nach Upgrade auf High Sierra 10.13.6 von 10.12.5

Wuchtbrumme

Roter Herbstkalvill
Mitglied seit
03.05.10
Beiträge
13.115
nach dem Upgrade hat Apple mal wieder meine Zertifikate in /etc/certificates weggeworfen (vielen Dank auch).

Mein Versuch, für die Benutzung von fetchmail wieder alles so hinzubauen, wie es war, war bis jetzt nicht erfolgreich. Und das, obwohl ich mittels openssl s_client -connect die Zertifikate heruntergeladen und in /etc/certificates gespeichert habe (Datei-Besitzer root, 644). Marcel hatte netterweise hier auch gepostet, wie man c_rehash per Shell nachbaut (warum schafft man das überhaupt ab?).
Ich hatte auf einer Kopie der jetzigen Installation vor fünf Monaten oder so schon mal einen Versuch mit 10.13.2 oder so gestartet und hatte das damals hinbekommen, aber wohl vergessen, was ich damals gemacht habe. Ich habe homebrew mit openssl installiert gehabt, weiss aber auch nicht mehr, ob ich das dortige binary überhaupt benutzt habe. /usr/local/etc/openssl/certs ist jedenfalls leer. Ich habe noch den Klon, könnte also nochmals davon booten und nachgucken (ich glaube, das wäre heute abend das nächste, was ich tun würde).

Ganz konkret und das ist auffällig fehlen für zwei Mailserver jeweils die Rootzertifikate für Deutsche Telekom 2 und/oder TeleSec, die Fehlermeldungen lesen sich jedenfalls fast gleich.. Von der Telesec-Root-PKI habe ich cer-formatierte Zertifikate heruntergeladen, nach pem konvertiert und zur Verfügung gestellt in /etc/certificates, rehashed, keine Änderung. Ebensowenig als ich alle beim Connect mitgelieferten Zertifikate in /etc/certificates abgespeichert habe.

Ein Mailserver funktioniert, d.h. ganz kaputt kann es nicht sein.

Es besteht also auch die Möglichkeit, dass mein Upgrade mit einem Zertifizierungsstellenwechsel bei gleich zwei Mailservern zusammenfällt, so wie ich mein Glück kenne, wäre das genau mein Humor. :) Web.de hatte zuletzt jedenfalls thawte, das weiss ich noch (bzw. soweit habe ich das im Backup nachgeguckt).

Weiss jemand zufällig, was falsch läuft und/oder hat tolle Tips? Manchmal sieht man ja den Wald vor lauter Bäumen nicht, vor allem wenn man Tage davorsitzt und es gibt noch mindestens dreissig andere Baustellen...
 
Zuletzt bearbeitet:

Wuchtbrumme

Roter Herbstkalvill
Mitglied seit
03.05.10
Beiträge
13.115
ich habe gesucht und gesucht und nichts gefunden. Fetchmail hat eine wunderbare Zusammenfassung der Einstellungen, wenn man fetchmail version aufruft, aber auch da hatte sich ja eigentlich nichts geändert. Dennoch habe ich nochmals alles überprüft (ohne Ergebnis).

Meine temporäre "Lösung", um wenigstens arbeiten zu können: certchk ausgeschaltet. Das ging vorher definitiv, aber wo sich die Telekom/TeleSec-Root-Zertifikatskette versteckt, weiß ich schon nicht beim Original-System.
 

Marcel Bresink

̈Öhringer Blutstreifling
Mitglied seit
28.05.04
Beiträge
5.568
OpenSSL ist normalerweise fester Bestandteil von macOS.

Wenn es Probleme gibt, herauszufinden, wo die für fetchmail gültigen Zertifikate in dieser Systeminstallation gesucht werden, kann man den Pfad über den Parameter sslcertpath vorgeben.
 

Wuchtbrumme

Roter Herbstkalvill
Mitglied seit
03.05.10
Beiträge
13.115
Hallo Marcel,

vielen Dank! OpenSSL bei 10.13 scheint ja endlich vernünftig zu sein (ggü. der phasenweise verwundbaren Altlieferung früher). Das stelle ich wieder zurück bzw. hatte eh nur für den fetchmail-User und auch nur probeweise im PATH die brew-Lieferung vorgezogen.

Die Konfig und der erwähnte Pfad habe ich schon überprüft. Wie gesagt, wurde ja nicht geändert, nur der Pfad war leer und die Zertifikate aus dem Ordner habe ich aus der Sicherheitskopie kopiert und rehasht, da war es wohl nicht dabei.