Mir stellt sich gerade das nachfolgende Problem.
Ich moechte gerne, dass sich Mail Clients (Thunderbird) am Mail Server (exim) mittels eines Zertifikates
ausweisen muessen bevor sie eine TLS Verbindung zum relayen von Ausserhalb aufbauen duerfen.
Bis jetzt bauen die Clients nur eine TLS Verbidnung auf und authentifizieren sich anschliessend beim Server,
das ganze funktioniert auch ohne Probleme.
Nun moechte ich aber in Zukunft das sich die Clients selbst zusaetzlich mit einem eigenen Zertifikat beim Server
ausweisen muessen um eine TLS Verbindung aufzubauen.
Dazu habe ich beim Exim mittels tls_verify_hosts = * die Client Authentfizierung aktiviert.
Im Thunderbird wurde dann ein entsprechendes Client Zertifikat im Zertifikats-Manager unter "Ihre Zertifikate"
sowie das root Zertifikat der CA unter "Zertifizierungsstellen" importiert.
Dieses von der CA ausgestellte User Zertifikat wird auch innerhalb von Thunderbird als gueltig erkannt.
Baue ich nun aber eine SMTP Verbindung zum Server auf, so war ich der Hoffnung das mich Thunderbird
nun fragt mit welchem User Zertifikat ich mich am Server ausweisen moechte.
Dies geschieht aber nicht, ich erhalte statt dessen eine Fehlermeldung:
<name mail-server> hat eine falsche oder unerwartete Nachricht erhalten. Fehler Code: -12227
vom Thunderbird Client.
Im Logfile des Exim Mailservers befindet sich dann der nachfolgende Eintrag:
2007-05-21 21:50:07 TLS error on connection from <Name des Clients> [IP vom Client] (SSL_accept): error:140890C7:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:peer did not return a certificate
Thunderbird hat anscheinend auch kein Zertifikat angeboten, er hat mich
ja auch nicht gefragt eines der Installierten zu waehlen.
Daher meine Frage, hat jemand Thunderbird mit Client Authentifizierung am Laufen
und kann mir einen Tip geben was ich an der Konfiguration des Clients noch aendern muss.
Ich waere ja schon etwas weiter, wenn ich Thunderbird dazu bringen koennte
dem Mailserver ein User Zertifikat zu praesentieren.