This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

TLS certificate rejection / SMTP failure (unknown ca)

Hello,

my ASG 8.311 is configured to perform a forced TLS negotiation with an external provider.  I have configured the 'Mail Security > SMTP > Advanced > TLS Settings' fields on my Astaro.

I have included his 4 publicly defined MX servers in the "Require TLS negotiation hosts/net" field, and added "*@otherdomain.com" to the "Require TLS negotiation sender domains".

When he tries to send to me, the following error occurs:

2014:01:20-07:13:20 mail2 exim-in[6631]: 2014-01-20 07:13:20 SMTP connection from [74.125.245.78]:45183 (TCP/IP connection count = 1)
2014:01:20-07:13:20 mail2 exim-in[27465]: 2014-01-20 07:13:20 TLS error on connection from na3sys010aog105.obsmtp.com [74.125.245.78]:45183 (SSL_accept): error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca
2014:01:20-07:13:20 mail2 exim-in[27465]: 2014-01-20 07:13:20 TLS client disconnected cleanly (rejected our certificate?)
2014:01:20-07:13:20 mail2 exim-in[27465]: 2014-01-20 07:13:20 SMTP connection from na3sys010aog105.obsmtp.com [74.125.245.78]:45183 closed by EOF

It appears they are rejecting my TLS certificate?  The one I am using in the "TLS certificate" field is the "WebAdmin certificate for {InternalIP}".  Do I need to create or purchase a 3rd-party certificate?  I think not, but am at a loss.

-stoomaroo


This thread was automatically locked due to age.
Parents
  • Found the issue.

    TLS v1 "unknown ca" is an RFC 2246 (section 7.2.2) defined error.  It means that the connecting party is requesting a certificate signed by a known, trusted 3rd-party Certificate Authority.  To quote the RFC, "This error is always Fatal".

    This would be common with customers using the Postini/Google solution, in conjunction with the "Check Domain" function.

    In case this helps any, the relevant paragraphs from the above-mentioned solution:

    Certificate Validation
    (see Certificate Validation Settings)


    -stoomaroo
Reply
  • Found the issue.

    TLS v1 "unknown ca" is an RFC 2246 (section 7.2.2) defined error.  It means that the connecting party is requesting a certificate signed by a known, trusted 3rd-party Certificate Authority.  To quote the RFC, "This error is always Fatal".

    This would be common with customers using the Postini/Google solution, in conjunction with the "Check Domain" function.

    In case this helps any, the relevant paragraphs from the above-mentioned solution:

    Certificate Validation
    (see Certificate Validation Settings)


    -stoomaroo
Children
No Data