Thunderbird akzeptiert SSL/TLS nicht von Dovecot mit selbstsigniertem zertifikat

Hallo an Alle, die diese Frage gefunden haben!

Ich habe Schwierigkeiten, mit Thunderbitrd eine Imap-Verbindung mit StartTLS oder SSL/TLS zu meinem Linux-Mailserver mit Dovecot/Postfix aufzubauen.

ich erhalte im Dovecot-Log folgende Meldungen:

Jan 16 22:01:43 vodin dovecot: imap-login: Debug: SSL error: SSL_accept() failed: error:14094412:SSL routines:ssl3_read_bytes:sslv3 alert bad certificate: SSL alert number 42

Jan 16 22:01:43 vodin dovecot: imap-login: Disconnected (no auth attempts in 0 secs): user=<>, rip=192.168.178.13, lip=192.168.178.13, TLS handshaking: SSL_accept() failed: error:14094412:SSL routines:ssl3_read_bytes:sslv3 alert bad certificate: SSL alert number 42, session=<E8rkV7nVjrvAqLIN>

Jetzt mag der ein oder andere sagen, das gehört nicht zu Thunderbird sondern ist ein Dovecot- oder openssl-Problem, aber ich habe andere Mail-Clients von gleichen Rechner probiert (z.b. WebCLient RoundCube), bei denen die Verbindung per TLS klappt. Anscheinend ist Thunderbird irgendwie anspruchsvoller, was das selbstsignierte Zertifikat angeht.

Ich habe die gleiche Konstellation bereits vor ca 3 Jahren auf einem anderen Linux-Rechner aufgebaut, da funktionierte es Problemlos. Nur das es früher dovecot 2.2 gewesen war und nun dovecot 2.3.

Der Server steht bei mir im lokalen Netz, so dass Zertifizierungen nicht zwingend nötig sind, ich möchte das Problem aber dennoch verstehen und lösen.

Ich erhoffe mir hier Anhaltspunkte, wie ich die Ansprüche von Thunderbird mildern kann (es gibt ja soviele Parameter im config-Bereich) oder Tipps zur Erstellung des selfSigned Zertifikates, so dass Thunderbird zufrieden ist.

Bin für jeden Tipp dankbar,

Viele Grüße,

Michael

Ergänzung:

OSPC habe ich ausgeschaltet.

Bei der Zertifikatserstellung bin ich eher Laie.

Ich habe früher mal ein "Rezept" gefunden, dass ich bisher immer erfolgreich genutzt habe:

cd /etc/ssl/dovecot/ /

openssl genpkey -algorithm RSA -pkeyopt rsa_keygen_bits:2048 -out server.key

chmod 400 server.key

openssl req -new -key server.key -out server.csr

openssl x509 -req -days 10500 -in server.csr -signkey server.key -out server.crt

Die .key und .crt-Dateien habe ich dann im Dovecot entsprechend referenziert.

Bei meinem alten Linux-Mailserver mit Dovecot 2.2 war das erfolgreich, jetzt mit dem neuen unter 2.3 nicht mehr

Schade hat nichts gebracht,

Ich habe gemäß des Links die Mindestversion für die tls-Security runtergesetzt, aber keine Änderung im Dovecot-Log. Da aber im Dovecot-Log sslv3 genannt wird, kann es da sein, das schon beim Erstellen des Zertifikates eine zu geringe SSL/TLS-Version gegriffen hat und dadurch das Problem entsteht?

Kann man da bei openssl eine Art höheres Level erzwingen? Vielleicht ist die Frage ja Blöd, aber ich kenn mich leider mit openssl nicht gut aus.

Den Tipp mit dem Root-CA, das man in Thunderbirtd importiern könnte, möchte ich auch gerne verfolgen. Welche Datei von den dreien, die ich erzeugt habe, ist denn das Root -Ca? Ist es die .csr -Datei? An Welcher Stelle müsste ich das importieren?

Vielleicht weiss ja einer noch weiter....? Schon mal Danke!

Noch mal Hallo an Alle. Jetzt habe ich eine Lösung!

Die Zertifikate,die ich bisher selbstsigniert erstellt hatte, auf Basis so einer "SchnellschussLösung" haten wohl für Dovecot 2.3 zu wenig Aussgaekraft oder erfüllten nicht mehr alle Kriterien (beim Dovecot 2.2 gings aber noch).

Ich fand nun eine recht detailiert Anleitung:

Dovecot, SSL/TLS - Dovecotverbindungen verschlüsselte Kommunikation [Linux - Wissensdatenbank]

Damit konnte ich zumindest schon mal präziser alles eintragen und die Zertifikate samt rootCA erstellen. Dieses rootCa (das in der Anleitung als cacert.pem benannt wurde) habe ich dann noch im Thunderbird in der Zertifikatsverwaltung als Zertifikatsstelle (Authority) eingetragen und für die Identifikation von Mail-Benutzern freigegeben.

Und nun tut alles freu