Zarafa: Outlook und SSL

[rmartins]

Hallo allerseits,

Nach einigem Rumprobieren habe ich Zarafa endlich up and running. IMAP, activesync und Outlook (Exchange) gehen. Die ersteren zwei auch verschlüsselt, Exchange leider nicht, was natürlich nicht geht.

Wenn ich in server.cfg die Verschlüsselung einschalte, erhalte ich im Server Log die Meldung "Unable to setup ssl context: Can't read certificate key file". Zarafa startet nicht.

Ich habe ein /zarafa/ssl Verzeichnis erstellt, privkey.pem und cert.pem sind darin, server.cfg ist bearbeitet (ssl auf on, die Pfade angepasst).

Weiss jemand weiter?

Gruss & danke

R.

 

[smueff]

Hi rmartins,

ich nehme an, das hier ist die Fortsetzung Deines letzten Posts von hier http://www.synology-forum.de/showthread.html?32317-Probleme-mit-Outlook-Plugin-%FCber-HTTPS ?

Kurz vorweg: Ich habe eine erfolgreich verschlüsselte Verbindung zw. meinem Outlook und dem Zarafa Server auf Port 237. Noch ein Hinweis: meine Implementierung war nicht gerade die eleganteste/nächst gelegenste für Jedermann.

Ich habe mir selbst schon die Zähne ausgebissen an openssl (auf der Synology) und der ordentlichen Zertifikatsgenerierung. Laut Zarafa Admin-Manual nimmt man für die self-signed Zert-Generierung das mitgelieferte Skript "/usr/share/doc/zarafa/ssl-certificates.sh". Das gibts auf der Synology auch (/volume1/@appstore/Zarafa/share/doc/zarafa/ssl-certificates.sh), allerdings wollte es bei mir nicht so recht, scheinbar fehlte dem openssl der Synology (abgesehen von der openssl.cnf die ich manuell erstellt habe auch noch) der Parameter "-newca". Nachdem vieles nicht geholfen hab, hab ich die radikale Methode angewandt:

eine Debian VM aufgesetzt, Zarafa installiert, das "ssl-certificates.sh"-Skript ausgeführt und die Zertifiakte via scp auf meine Synology kopiert.

Natürlich muss die Ordnerstruktur auf Deiner Synlogy zur Konfig der server.cfg passen, wie im Admin-Manual beschrieben (z.B.: /etc/zarafa/ssl und /etc/zarafa/ssl/demoCA):

http://doc.zarafa.com/7.1/Administrator_Manual/en-US/html-single/#_ssl_connections_and_certificates

Nachdem die Zertifikate durch das mitgelieferte Skript erstellt/bereitgestellt wurden, hat das server.log nicht mehr wg. dem Zertifikat gemeckert und SSL-Verbindungen zwischen Outlook und Zarafa-Server funktionieren wunderbar. Da das Zert self-signed ist braucht der Connector noch eine Bestätigung, dass dieser Verbindung vertraut wird...

Vielleicht ist das ja eine Lösung auch für Dich, bevor Du garnicht mehr weiterkommst. Viele Grüße!

 

[smueff]

Achja, was mir heute morgen unter der Dusche noch eingefallen ist:

Das "ssl-certificates.sh"-Skript erstellt das Zertifikat standardmäßig für ein Jahr. Das würde bedeuten, den Zauber darfst Du in 365 (besser spätestens nach 364) Tagen wiederholen. Das kannst Du ändern, wenn Du das Skript selbst ein wenig editierst. Öffne es dazu im Editor und ändere ganz oben die Variable

DAYS=$[3*365]

in den Zeitraum, den Du gerne hättest, z.B. bei 20 Jahren (Ohne Schaltjahre):

DAYS=7300

Viele Grüße! =)

 

[Jdo2002]

Was übrigends auch noch klappen soll (habe ich selber nicht getestet) ist auf die auf der Syno Standardmäßig installierten Zertifikate zu verweisen (so muss man nichts neues generieren):

Also muss der Eintrag in der server.cfg so lauten:

ssl_private_key_file = /usr/syno/etc/ssl/ssl.key/server.key
ssl_certificate_file = /usr/syno/etc/ssl/ssl.crt/server.crt

 

[rmartins]

Hallo Jdo2000

Herzlichen Dank für Deinen Input.

Das mit dem Skript hatte ich schon mal probiert, ausser Spesen bzw. Fehlermeldungen nichts gewesen. Und wenn Du das erste Problem löst, wartet um die Ecke schon das nächste.

Ich hab grad keinen Rechner zur Hand, um rasch ne Debian VM aufzusetzen (ausser der Synology ist hier alles Windows...). Mal sehen, wie ich noch weitermache. Vielleicht habe ich ja irgendwo nen Kollegen, der mir rasch zwei solche Files produzieren kann.

Der Tipp mit den direkten Links auf die von der Synology generierten Files geht leider nicht. " Unable to setup ssl context: Can't read certificate key file." Die übliche Fehlermeldung also, die ich bisher immer bekommen habe...

Gruss R.

 

[smueff]

Hi rmartins,

die Antwort kommt spät, aber Du kannst auch kostenlose Virtualisierungslösungen nutzen, z.B. VirtualBox, das auf Deinem Windows installieren, der VM z.B. 512MB RAM geben und das Debian installieren. Das braucht minimale Ressourcen. Falls Du dazu mehr Input willst, gib Bescheid =)

 

[rmartins]

Danke, werde es mir gelegentlich ansehen. Aber ich finde die langsam definitiv zu aufwändig...

 

[491810]

Gibt es zu dem Thema "any news"? Bin selber an dem gleichen Problem. Kann doch nicht sein, dass es so ein gefrickel ist das SSL ans Rennen zu bekommen!???

Das gleiche gilt für die Kennwörter. Kann hier aus mir unerfindlichem Grund keine Sonderzeichen (!"§$%&/()=?`*+'#_-:.;, usw) verwenden. Weiß jemand wieso das?

 

[Jdo2002]

Gibt es zu dem Thema "any news"? Bin selber an dem gleichen Problem. Kann doch nicht sein, dass es so ein gefrickel ist das SSL ans Rennen zu bekommen!???

Das gleiche gilt für die Kennwörter. Kann hier aus mir unerfindlichem Grund keine Sonderzeichen (!"§$%&/()=?`*+'#_-:.;, usw) verwenden. Weiß jemand wieso das?

SSL geht, man muss *nur* das passende Zertifikat Zarafa unterschieben bzw. es passend konfigurieren. Habe ich selber auch noch nicht getestet sollte aber gehen.

Bzgl. der Sonderzeichen in Passwörtern verhält es sich so das einige gesperrt sind da man über diese sonst schadhaften Code über die Admin Gui einschleusen könnte. Wenn du als Passwort z.b. hu" rm*" oder ähnliche Konstrukte setzen würdest könnte es sein das dieses dann ausgeführt wird. Die Admin GUI ruft den zarafa-admin Befehl über die Kommandozeile auf, und so gehe ich sicher das nur valide Zeichen drin sind. Wenn du Sonderzeichen verwenden möchtest, kannst du das gerne machen, musst dann aber den User über die Komandozeile anlegen bzw. dort das Passwort ändern.

 

[491810]

SSL geht, man muss *nur* das passende Zertifikat Zarafa unterschieben bzw. es passend konfigurieren. Habe ich selber auch noch nicht getestet sollte aber gehen.

Bzgl. der Sonderzeichen in Passwörtern verhält es sich so das einige gesperrt sind da man über diese sonst schadhaften Code über die Admin Gui einschleusen könnte. Wenn du als Passwort z.b. hu" rm*" oder ähnliche Konstrukte setzen würdest könnte es sein das dieses dann ausgeführt wird. Die Admin GUI ruft den zarafa-admin Befehl über die Kommandozeile auf, und so gehe ich sicher das nur valide Zeichen drin sind. Wenn du Sonderzeichen verwenden möchtest, kannst du das gerne machen, musst dann aber den User über die Komandozeile anlegen bzw. dort das Passwort ändern.

Danke für die Ausführung. Noch besser wäre es, wenn IRGENDJEMAND mal posten könnte, WIE man dem zarafa dieses SSL Zertifikat erfolgreich "unterschiebt"!!!
Auch eine genauere Ausführung, welche Sonderzeichen Zarafa "verkraftet"/akzeptiert wäre super. Würde ein Kennwort dann doch gleich viel sicherer machen !!!

 

[jahlives]

also 1. bitte lass die mehrfachen Ausrufezeichen. Das ist schreien und irgendwie unfreundlich. Danke
Sobald mal so eine Meldung bekommt

Unable to setup ssl context: Can't read certificate key file

sollte man als allererstes die Rechte der Files prüfen. Darf z.B. der zarafa User die Files überhaupt lesen?

 

[491810]

also 1. bitte lass die mehrfachen Ausrufezeichen. Das ist schreien und irgendwie unfreundlich. Danke
Sobald mal so eine Meldung bekommt

sollte man als allererstes die Rechte der Files prüfen. Darf z.B. der zarafa User die Files überhaupt lesen?[/COLOR]

Als "Schreien" habe ich sowas noch nie gesehen - und war auch nicht so gemeint.

Habe aber zwischenzeitlich ggf. eine Lösung für unser aller Problem im Weg gefunden.

Einfach mal den vorletzten post von thctlo vom 01.2008 durchlesen, der es gelöst hat:

ttps://forums.zarafa.com/showthread.php?2351-Zarafa-SSL-(NOT-apache-ssl)-how-with-official-certificate

 

[jahlives]

aber genau das steht doch dick und fett im Configfile. Zumindest in dem Thread welchen du verlinkt hast

# Required Server certificate, contains the certificate and the private key parts

steht das in der Zarafa Konfig bei der DS ned?

 

[491810]

Habe das PROBLEM GELÖST! Die Anleitung, die ihr unter folgendem Link findet bringt es zum laufen:
https://forums.zarafa.com/showthrea...NOT-apache-ssl)-how-with-official-certificate

Einfach die ca.cer und ca.key muss zum ca.perm zusammegeführt werden. Dazu folgende Befehle eingeben:

cat ca.key > ca.pem
cat ca.cer >> ca.pem

Bei mir hieß die Datei nicht ca.cer sondern ca.crt. Also habe ich die genommen. Und so funktioniert(e) es.

Die Verbindung konnte ich jetzt per SSL (237) im Outlook erfolgreich einrichten. Dennoch gab es Probleme.

Wenn ich Outlook öffne bekomme ich leider anstelle der Anzeige des Postfachs folgenden Fehler angezeigt:

"Verbindung zum Server war nicht erfolgreich Wollen Sie diese Einstellungen speichern oder abbrechen und
die Verbindungsdaten neu eingeben?" Tja leider habe ich da jetzt keine Idee, wieso ich den Fehler erhalte.

Ich habe keinerlei "errors" in den Logs gefunden. Auch konnte ich noch keine Lösung dafür finden - leider.

 

[OhneAhnung]

Habe das PROBLEM GELÖST! Die Anleitung, die ihr unter folgendem Link findet bringt es zum laufen:
https://forums.zarafa.com/showthrea...NOT-apache-ssl)-how-with-official-certificate

Einfach die ca.cer und ca.key muss zum ca.perm zusammegeführt werden. Dazu folgende Befehle eingeben:

cat ca.key > ca.pem
cat ca.cer >> ca.pem

Bei mir hieß die Datei nicht ca.cer sondern ca.crt. Also habe ich die genommen. Und so funktioniert(e) es.

Die Verbindung konnte ich jetzt per SSL (237) im Outlook erfolgreich einrichten. Dennoch gab es Probleme.

Wenn ich Outlook öffne bekomme ich leider anstelle der Anzeige des Postfachs folgenden Fehler angezeigt:

"Verbindung zum Server war nicht erfolgreich Wollen Sie diese Einstellungen speichern oder abbrechen und
die Verbindungsdaten neu eingeben?" Tja leider habe ich da jetzt keine Idee, wieso ich den Fehler erhalte.

Ich habe keinerlei "errors" in den Logs gefunden. Auch konnte ich noch keine Lösung dafür finden - leider.

Hallo 491810,
ich habe auch das port 237-Problem und verstehe leider zu wenig von Linux

Daher möchte ich Dich fragen, was es bedeutet, wenn Du sagst, dass Du das Problem gelöst hast? Wenn ich Deinen Artikel richtig lesen, dann hast Du ja doch wieder einen unerklärlichen Fehler? Oder?

LG
OhneAhnung