Dovecot fehlt Zertifikat nach Reboot

Columbo0815

Columbo0815

Kaffeemann
Teammitglied
Moin,

ich habe zwar einen Workaround, aber inzwischen bin ich von dem Problem genervt. Ich habe Dovecot auf einem FreeBSD 14.3-RELEASE-p5 in einer Jail laufen. Seit Jahren lief das wunderbar. Ohne, dass ich etwas geändert habe (natürlich ohne, dass ich etwas geändert habe! (tm)), habe ich seit einiger Zeit (Zeitpunkt kann ich nicht bestimmen) das Problem, dass bei einem Neustart des Rechners (oder der Jail) Dovecot nicht mehr startet, da /etc/ssl/certs/dovecot.pem fehlt:

Starting dovecot.
doveconf: Fatal: Error in configuration file /usr/local/etc/dovecot/conf.d/10-ssl.conf line 12: ssl_cert: Can't open file /etc/ssl/certs/dovecot.pem: No such file or directory
Zum Vergrößern anklicken....

Ich nutze selbst erstellte Zertifikate. Nachdem ich dann "mkcert" (ein Script von Dovecot zum erstellen von Zertifikaten) ausgeführt habe, kann ich Dovecot wieder starten. Der läuft dann einwandfrei, bis ich die Jail oder den Rechner neu starte (10 PRINT "Programmiererwitz" 20 GOTO 10 (soll heißen: Endlosschleife)).

Ich vermute auf eine "Besonderheit" von FreeBSD, was das Verzeichnis des Basissystems /etc/ssl/certs anbelangt. Tatsächlich bin ich aber ratlos.

Irgendwelche Ideen?

Thx!
 
Außer Berechtigung fällt mir da nix ein.
Sieht so bei mir aus:
drwxr-xr-x 2 root wheel 155 Jul 30 13:53 certs
 
Da sind wohl einige drüber gestolpert: freebsd-update löscht öffenbar neuerdings ungefragt Zertifikate unter /etc/ssl/certs. Als ich sah, dass das auch auf https://forums.freebsd.org/ Leute überrascht hat, hatte ich das als Bug gemeldet. Die vermutlich korrekte aber eiskalte Antwort lautete:
/etc/ssl/certs is the system trust store and is maintained by certctl(8). It is not intended as a place for you to store your own certificates.
Zum Vergrößern anklicken....

Ich hatte noch überlegt, ob ich hier im Forum eine Warnung platziere - aber ich hatte das Gefühl, dass ich wohl einer der wenigen Dummen war, der das gemacht hat und hab's daher gelassen. Wobei ich ja vermute, dass das in irgendeiner Webserver-Konfigurations-Anleitung mal so drin stand. Oder bei einem der ACME-Tools.

Ich habe jedenfalls einen halben Tag aufwenden müssen, um auf allen Servern in allen Jails die Zertifkate und Keys nach /usr/local/etc/ssl/certs zu verschieben (inkl. Anpassung der jeweiligen Konfiguration von security/acme.sh).
 
Zuletzt bearbeitet:
Danke. Dann war meine Vermutung gar nicht so weit hergeholt. Der Fehler liegt für mich dann in /usr/local/share/examples/dovecot/mkcert.sh

Ich hake mal beim Maintainer nach...
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben