Witzige kleine Angelegenheit: Ein Kunde betreibt keinen eigenen Mailserver und in Folge muss das neue EPSON-Multifunktionsgerät bzw. dessen E-Mail-Teil an Strato angebunden werden.
Die E-Mail-Einstellungen als solches werden via Web-Interface unter “Netzwerk” eingestellt, soweit, so einfach. Beim Test kommt es allerdings zu einem Fehler der glücklicherweise auch gleich quasi erklärt wird. Die Meldung verweist schlicht auf ein fehlendes Root-Zertifikat.
Anscheinend ist es am Werk so, das die Geräte nur die Zertifikate mitbringen die für den Betrieb der EPSON Cloud Services benötigt werden. Andere öffentliche Zertifizierungsstellen kennt es einfach nicht.
Abhilfe ist einfach: Unter “Netzwerksicherheit – CA-Zertifikat” kann man bis zu zehn Root-CA-Zertifikate importieren. Das führte jetzt allerdings zur nächsten Frage: Wie ermittelt man das Root-Zertifikat für einen E-Mail-Server?
Via Browser bei Webservern ist das einfach, das hilft in diesem Fall-Beispiel allerdings wenig, da Strato für Web- und E-Mail-Server verschiedene Ausgabestellen verwendet. Eine kleine Abfrage via OpenSSL zeigt die Zertifikatskette auf:
openssl s_client -servername smtp.strato.de -connect smtp.strato.de:465 CONNECTED(0000019C) depth=1 C = DE, O = T-Systems International GmbH, OU = T-Systems Trust Center, ST = Nordrhein Westfalen, postalCode = 57250, L = Netphen, street = Untere Industriestr. 20, CN = TeleSec ServerPass Class 2 CA verify error:num=20:unable to get local issuer certificate verify return:1 depth=0 C = DE, O = Strato AG, OU = Rechenzentrum, ST = Berlin, L = Berlin, CN = smtp.strato.de verify return:1 --- Certificate chain 0 s:C = DE, O = Strato AG, OU = Rechenzentrum, ST = Berlin, L = Berlin, CN = smtp.strato.de i:C = DE, O = T-Systems International GmbH, OU = T-Systems Trust Center, ST = Nordrhein Westfalen, postalCode = 57250, L = Netphen, street = Untere Industriestr. 20, CN = TeleSec ServerPass Class 2 CA 1 s:C = DE, O = T-Systems International GmbH, OU = T-Systems Trust Center, ST = Nordrhein Westfalen, postalCode = 57250, L = Netphen, street = Untere Industriestr. 20, CN = TeleSec ServerPass Class 2 CA i:C = DE, O = T-Systems Enterprise Services GmbH, OU = T-Systems Trust Center, CN = T-TeleSec GlobalRoot Class 2 --- Server certificate ...
Die unterste Zeile in der “Certificate chain” ist die Root-CA:
i:C = DE, O = T-Systems Enterprise Services GmbH, OU = T-Systems Trust Center, CN = T-TeleSec GlobalRoot Class 2
Über die Suchmaschine der Wahl kann man mittels des “Common Name” (CN) in Verbindung mit dem Schlüsselwort “Download” dann einfach das richtige Zertifikat finden:
Deutsche Telekom – Trust Center – TeleSec – Root Certificates
Ich bin mir fast sicher, das es auch irgendwie anders geht, das war zumindest jetzt mein erfolgreicher Schnellschuss.
Quelle:
ShellHacks – Get SSL Certificate from Server (Site URL) – Export & Download
Verheiratet, Vater von zwei Kindern, eines an der Hand, eines im Herzen. Schon immer Technik-Freund, seit 2001 in der IT tätig und seit über 10 Jahren begeisterter Blogger. Mit meiner Firma IT-Service Weber kümmern wir uns um alle IT-Belange von gewerblichen Kunden und unterstützen zusätzlich sowohl Partner als auch Kollegen.
Artikel (RSS)
XING
Guten Tag,
kleiner Tipp am Rande
https://ssl-tools.net/mailservers
einfach FQDN des Servers eintragen ‘smtp.strato.de’. Einziger Knackpunkt, es wird Port 25 geprüft. Dafür kann man unten in der Chain direkt die entsprechenden Zwischen- und Rootzertifikate holen.
FG
Hallo Alexander,
das ist super, danke dir.
Gruß
Andy