Mail.app unter 10.4 und self-signed certificates

5/2005
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
7/2005

5. June 2005

Mail.app unter 10.4 verlangt immer eine Bestätigung beim ersten Öffnen einer Verbindung zu einem Server mit einem selbstsignierten Zertifikat - obwohl ich das Zertifikat in meiner x509Ancestors KeyChain drin habe und dort immer vertrauen eingestellt habe will er es ums verrecken nicht direkt annehmen. Hat irgendjemand eine Idee wie man Mail.app diese Albernheit austreiben kann? Das ist zwar nur beim Start von Mail.app, später beim Verbindung lösen und neu verbinden passierts nicht, aber nervig ist es trotzdem ... Als Meldung kommt immer "Dieses Zertifikat hat kein Root-Zertifikat" - was ja auch logisch ist, es signiert sich ja nur selbst. Irgendwie ist das mal wieder ziemlich dämlich - statt einfach dem "Immer Vertrauen" zu glauben meint Apple es besser wissen zu müssen. Ich hasse besserwisserische Software.

tags: Mac OS X

bwolf June 5, 2005, 12:43 p.m.

Ich kann Dir dazu leider nichts genaueres sagen. Es gibt allerdings keine Probleme wenn Du für deine eigenen Zertifikate (da kommen doch im Laufe der Zeit sicher einige zusammen) eine kleine CA einrichtest und dieses Zert dann in die X509Anchors importierst. Ich habs vor 2 Jahren genau so gemacht und seit dem wesentlich weniger Kopfweh (auch mit tiger kein Thema) ;-)

Für erste Versuche reicht das CA.sh Skript, das mit openssl kommt (unter tiger: /System/Library/OpenSSL/misc/CA.sh).

hugo June 5, 2005, 1:27 p.m.

Jo, vermutlich werd ich das so machen. Ist bloss immer so lästig - openssl CAs sind deutlich umständlicher zu benutzen als GPG-CAs. Ich versteh wirklich nicht warum man in OS X nicht einfach ein einzelnes Zertifikat bestätigen kann wenn man will und dann Ruhe hat - da könnte Apple deutlich benutzerfreundlicher sein. Allein schon das man das Zertifikat mit Badewanne-Drag-n-Drop rausziehen muss um es in KeyChain zu importieren - lässt man die Badewanne weg, gibts einen Textexport den KeyChain nicht mag. Irgendwie hirnrissig ...

der Dennis June 5, 2005, 1:29 p.m.

Wenn du das root Zertifikat der ausstellenden CA in deinen Schlüsselbund unter X509Anchors einfügst und dann auf "immer vertrauen" stellst sollte das eigentlich kein Problem mehr sein. Warum mail.app auf das root Zertifikat besteht kann ich allerdings auch nicht verstehen...

Christoph Görn June 5, 2005, 1:52 p.m.

Hi, so wie der Dennis es beschrieben hat habe ich es auch unter 10.3 und dann nach dem update auf 10.4 kein Problem mit der Mail.app gehabt. Ich hab X.509 Certs für eine root CA, smtp und imap Server und für Benutzer. Die .pem und .p12 files hatte ich einfach in der Konsole mit open aufgemacht und stupido OK geklickt im Schlüsselbund...

El Uhu Oct. 3, 2007, 11:02 a.m.

Bei mir bringt Mail.app auch immer die Meldung
"Dieser Server hat ein Zertifikat für „*.(etc.).de“ ausgestellt. Mail konnte die Identität des Servers jedoch nicht überprüfen. Fehler: Es ist ein SSL-Fehler aufgetreten beim Versuch, Daten vom Server „smtp.(etc.).de“ zu lesen. Vergewissern Sie sich, dass dieser Server SSL unterstützt und dass Ihre Account-Einstellungen korrekt sind."

etc. Und dabei ist das Zertifikat auf "immer vertrauen" gesetzt.

El Uhu Oct. 3, 2007, 11:26 a.m.

Addendum: Das Problem tritt nur bei SMTP, interessanterweise nicht bei POP3 auf.