E-Mail Signierung mit Zertifikat geht mal und dann wieder nicht

Hilfe zu OTRS Problemen aller Art
Post Reply
pfipf
Znuny advanced
Posts: 123
Joined: 14 Jul 2017, 09:30
Znuny Version: 6 Free
Real Name: Günter
Company: KIT

E-Mail Signierung mit Zertifikat geht mal und dann wieder nicht

Post by pfipf »

Hallo,
ich habe 2 OTRS-Systeme (TEST und PROD) in der Version 6.06. Bei beiden Systemen ist ein Zertifikat hinterlegt, um E-Mails und Benachrichtigungen zu signieren.
Auf der Produktivinstanz habe ich jetzt das unschöne Verhalten, dass die Signierung bei ein und dem selben Vorgang mal geht und mal nicht. Nur Eskalationen werden immer korrekt signiert.
In den Logs findet sich immer der Fehler "Can't sign: unable to write 'random state' (Command: smime -sign -in /opt/otrs/var/tmp/krez3hRrt3.tmp -out /opt/otrs/var/tmp/GBIkt3ODkD.tmp -signer /opt/otrs/var/tmp/qPYzzpPneL.tmp -inkey /opt/otrs/var/tmp/B2AWjDFjdc.tmp -text -binary -passin file:/opt/otrs/var/tmp/qh3Pquwodb.tmp)".
Schaut man sich die Details im Header der Mail an steht da der Fehler "Signiert:
OpenSSL: Verification failure ;unable to get local issuer certificate".

Zeitweilig hat die Ausführung von /opt/otrs/bin/otrs.SetPermissions.pl --web-group=apache das Problem scheinbar behoben, aber leider nicht dauerhaft.
Bezüglich der SMIME-Einstellungen sind beide Systeme identisch.

Hat jemand eine Idee?
reneeb
Znuny guru
Posts: 5018
Joined: 13 Mar 2011, 09:54
Znuny Version: 6.0.x
Real Name: Renée Bäcker
Company: Perl-Services.de
Contact:

Re: E-Mail Signierung mit Zertifikat geht mal und dann wieder nicht

Post by reneeb »

Die Signierung ist mit ein Grund, warum der Apache unter dem OTRS-User laufen sollte. Dann passt das immer... Könnt ihr das umstellen oder spricht da was dagegen?
Perl / Znuny development: http://perl-services.de
Free Znuny add ons from the community: http://opar.perl-services.de
Commercial add ons: http://feature-addons.de
pfipf
Znuny advanced
Posts: 123
Joined: 14 Jul 2017, 09:30
Znuny Version: 6 Free
Real Name: Günter
Company: KIT

Re: E-Mail Signierung mit Zertifikat geht mal und dann wieder nicht

Post by pfipf »

Muss ich mal sehen, was das für Auswirkungen hat.
Danke für die schnelle Antwort.
pfipf
Znuny advanced
Posts: 123
Joined: 14 Jul 2017, 09:30
Znuny Version: 6 Free
Real Name: Günter
Company: KIT

Re: E-Mail Signierung mit Zertifikat geht mal und dann wieder nicht

Post by pfipf »

Hi,
gibt es dazu irgendwo eine Anleitung, wie man das für OTRS macht?
wurzel
Znuny guru
Posts: 3224
Joined: 08 Jul 2010, 22:25
Znuny Version: x.x.x
Real Name: Florian

Re: E-Mail Signierung mit Zertifikat geht mal und dann wieder nicht

Post by wurzel »

Hi,

das ist Apache Konfiguration und hat erstmal nichts mit OTRS zu tun :)

Das ist Distributionsabhängig. Musst bitte in Deiner Apache Doku Deiner Distribution nachschauen.


Flo
OTRS 8 SILVER (Prod)
OTRS 8 auf Debian 11 (Test)
Znuny 7.x latest version testing auf Debian 11

-- Ich beantworte keine Forums-Fragen PN - No PN please

I won't answer to unfriendly users any more. A greeting and regards are just polite.
pfipf
Znuny advanced
Posts: 123
Joined: 14 Jul 2017, 09:30
Znuny Version: 6 Free
Real Name: Günter
Company: KIT

Re: E-Mail Signierung mit Zertifikat geht mal und dann wieder nicht

Post by pfipf »

Hi,

der Apache läuft jetzt als User 'otrs'.
Der Fehler "Can't sign: unable to write 'random state' ist jetzt weg. Allerdings wird im Header einer Mail immer noch die Meldung "Signiert:
OpenSSL: Verification failure ;unable to get local issuer certificate" angezeigt.
Ist das eine Apache-Sache oder eher OTRS?

Danke.
wurzel
Znuny guru
Posts: 3224
Joined: 08 Jul 2010, 22:25
Znuny Version: x.x.x
Real Name: Florian

Re: E-Mail Signierung mit Zertifikat geht mal und dann wieder nicht

Post by wurzel »

Hi,

ich bin bei den Zertifikatssachen nicht so 100%ig fit. Meistens ist es aber ein Berechtigungsproblem.
Schau mal ob der otrs User (+apache group) auf alle Zertifkatsverzeichnisse vom Linux Zugriff hat.

oder das "local issuer certificate" ist nicht vorhanden. Das wäre aber IMHO OK oder?

viele Grüße
Flo
OTRS 8 SILVER (Prod)
OTRS 8 auf Debian 11 (Test)
Znuny 7.x latest version testing auf Debian 11

-- Ich beantworte keine Forums-Fragen PN - No PN please

I won't answer to unfriendly users any more. A greeting and regards are just polite.
pfipf
Znuny advanced
Posts: 123
Joined: 14 Jul 2017, 09:30
Znuny Version: 6 Free
Real Name: Günter
Company: KIT

[Gelöst] Re: E-Mail Signierung mit Zertifikat geht mal und dann wieder nicht

Post by pfipf »

Hi,
habe es jetzt gelöst. Das ist eine Openssl-Sache.
Für die Verifizierung des Zertifikates muss die CA-Chain der ausstellenden Stelle im System hinterlegt sein.

Dies ist die Lösung für RHEL7:
Man kopiert die CAchain.pem in das Verzeichnis /etc/pki/ca-trust/source/anchors und führt anschließend den Befehl 'update-ca-trust extract' aus. Danach sollte das CA-Zertifikat in /etc/ssl/certs/ca-bundle.crt hinterlegt sein.
Man kann das überprüfen mit dem Befehl 'openssl x509 -in /etc/ssl/certs/ca-bundle.crt -text' .

Danke an alle für die hilfreichen Hinweise.

Günter
Post Reply