Client authentication mittels Zertifikat fuer TLS Verbindung

  • Mir stellt sich gerade das nachfolgende Problem.


    Ich moechte gerne, dass sich Mail Clients (Thunderbird) am Mail Server (exim) mittels eines Zertifikates
    ausweisen muessen bevor sie eine TLS Verbindung zum relayen von Ausserhalb aufbauen duerfen.
    Bis jetzt bauen die Clients nur eine TLS Verbidnung auf und authentifizieren sich anschliessend beim Server,
    das ganze funktioniert auch ohne Probleme.


    Nun moechte ich aber in Zukunft das sich die Clients selbst zusaetzlich mit einem eigenen Zertifikat beim Server
    ausweisen muessen um eine TLS Verbindung aufzubauen.
    Dazu habe ich beim Exim mittels tls_verify_hosts = * die Client Authentfizierung aktiviert.
    Im Thunderbird wurde dann ein entsprechendes Client Zertifikat im Zertifikats-Manager unter "Ihre Zertifikate"
    sowie das root Zertifikat der CA unter "Zertifizierungsstellen" importiert.
    Dieses von der CA ausgestellte User Zertifikat wird auch innerhalb von Thunderbird als gueltig erkannt.


    Baue ich nun aber eine SMTP Verbindung zum Server auf, so war ich der Hoffnung das mich Thunderbird
    nun fragt mit welchem User Zertifikat ich mich am Server ausweisen moechte.
    Dies geschieht aber nicht, ich erhalte statt dessen eine Fehlermeldung:
    <name mail-server> hat eine falsche oder unerwartete Nachricht erhalten. Fehler Code: -12227
    vom Thunderbird Client.


    Im Logfile des Exim Mailservers befindet sich dann der nachfolgende Eintrag:
    2007-05-21 21:50:07 TLS error on connection from <Name des Clients> [IP vom Client] (SSL_accept): error:140890C7:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:peer did not return a certificate


    Thunderbird hat anscheinend auch kein Zertifikat angeboten, er hat mich
    ja auch nicht gefragt eines der Installierten zu waehlen.


    Daher meine Frage, hat jemand Thunderbird mit Client Authentifizierung am Laufen
    und kann mir einen Tip geben was ich an der Konfiguration des Clients noch aendern muss.
    Ich waere ja schon etwas weiter, wenn ich Thunderbird dazu bringen koennte
    dem Mailserver ein User Zertifikat zu praesentieren.

  • Hi ZX81,


    und willkommen im Forum.
    Das, was du vor hast, finde ich sehr gut. Könnte die Lösung des weltweiten Spam-Problems sein ... .
    Nur leider kenne ich auch keine Lösung, wie du eine Client-Authentifizierung hinbekommst.
    Von Hause aus, ist die Client-Authentifizierung nicht vorgesehen. Ob man durch manuelle Anpassungen in der user.js etwas machen kann, entzieht sich meiner Kenntnis (es lesen aber genügene Programm-Insider mit, ich bin nur "der mit den Zertifikaten" ...).


    Das, was sehr gut funktioniert, ist die S/MIME Verschlüsselung und Signatur. Aber alle Einstellungsmöglichkeiten sind lediglich auf die Mailkonten bezogen. Die Antwort des MTA ist also nur logisch. Ich wüsste auch nicht, wie du dem MTA ein User-Zertifikat präsentieren könntest.


    Ich würde mich freuen, wenn du weitere Erkenntnisse posten würdest, und wünsche dir viel Erfolg.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!