CA-Zertifikat per OpenSSL ermitteln

Witzige kleine Angelegenheit: Ein Kunde betreibt keinen eigenen Mailserver und in Folge muss das neue EPSON-Multifunktionsgerät bzw. dessen E-Mail-Teil an Strato angebunden werden.

Die E-Mail-Einstellungen als solches werden via Web-Interface unter “Netzwerk” eingestellt, soweit, so einfach. Beim Test kommt es allerdings zu einem Fehler der glücklicherweise auch gleich quasi erklärt wird. Die Meldung verweist schlicht auf ein fehlendes Root-Zertifikat.

Anscheinend ist es am Werk so, das die Geräte nur die Zertifikate mitbringen die für den Betrieb der EPSON Cloud Services benötigt werden. Andere öffentliche Zertifizierungsstellen kennt es einfach nicht.

Abhilfe ist einfach: Unter “Netzwerksicherheit – CA-Zertifikat” kann man bis zu zehn Root-CA-Zertifikate importieren. Das führte jetzt allerdings zur nächsten Frage: Wie ermittelt man das Root-Zertifikat für einen E-Mail-Server?

Via Browser bei Webservern ist das einfach, das hilft in diesem Fall-Beispiel allerdings wenig, da Strato für Web- und E-Mail-Server verschiedene Ausgabestellen verwendet. Eine kleine Abfrage via OpenSSL zeigt die Zertifikatskette auf:

openssl s_client -servername smtp.strato.de -connect smtp.strato.de:465

CONNECTED(0000019C)
depth=1 C = DE, O = T-Systems International GmbH, OU = T-Systems Trust Center, ST = Nordrhein Westfalen, postalCode = 57250, L = Netphen, street = Untere Industriestr. 20, CN = TeleSec ServerPass Class 2 CA
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 C = DE, O = Strato AG, OU = Rechenzentrum, ST = Berlin, L = Berlin, CN = smtp.strato.de
verify return:1
---
Certificate chain
0 s:C = DE, O = Strato AG, OU = Rechenzentrum, ST = Berlin, L = Berlin, CN = smtp.strato.de
i:C = DE, O = T-Systems International GmbH, OU = T-Systems Trust Center, ST = Nordrhein Westfalen, postalCode = 57250, L = Netphen, street = Untere Industriestr. 20, CN = TeleSec ServerPass Class 2 CA
1 s:C = DE, O = T-Systems International GmbH, OU = T-Systems Trust Center, ST = Nordrhein Westfalen, postalCode = 57250, L = Netphen, street = Untere Industriestr. 20, CN = TeleSec ServerPass Class 2 CA
i:C = DE, O = T-Systems Enterprise Services GmbH, OU = T-Systems Trust Center, CN = T-TeleSec GlobalRoot Class 2
---
Server certificate
...

Die unterste Zeile in der “Certificate chain” ist die Root-CA:

i:C = DE, O = T-Systems Enterprise Services GmbH, OU = T-Systems Trust Center, CN = T-TeleSec GlobalRoot Class 2

Über die Suchmaschine der Wahl kann man mittels des “Common Name” (CN) in Verbindung mit dem Schlüsselwort “Download” dann einfach das richtige Zertifikat finden:

Deutsche Telekom – Trust Center – TeleSec – Root Certificates

Ich bin mir fast sicher, das es auch irgendwie anders geht, das war zumindest jetzt mein erfolgreicher Schnellschuss.

Quelle:

ShellHacks – Get SSL Certificate from Server (Site URL) – Export & Download

2 Kommentare

  1. Alexander Meckelein

    Guten Tag,

    kleiner Tipp am Rande

    https://ssl-tools.net/mailservers

    einfach FQDN des Servers eintragen ‘smtp.strato.de’. Einziger Knackpunkt, es wird Port 25 geprüft. Dafür kann man unten in der Chain direkt die entsprechenden Zwischen- und Rootzertifikate holen.

    FG

  2. Andy

    Hallo Alexander,

    das ist super, danke dir.

    Gruß

    Andy

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

© 2024 Andy's Blog

Theme von Anders NorénHoch ↑