Hallo Torsten, danke für den Hinweis. Das dort beschriebene Vorgehen "Servername im Zertifikat"="korrekte Angabe des SMTP-Servers in der Konfiguration" setzt weiterhin voraus, dass die signierende CA korrekt in der OpenSSL-Zertifikatsliste hinterlegt ist. Das funktioniert weder mit selbstsignierten Zertifikaten noch mit Zertifikaten von CAs, die nicht über openssl.cafile/openssl.capath erreichbar sind.
Ich habe einen eigenen SMTP-Server und wollte dem nicht noch ein eigenes Zertifikat einer der namhaften CAs spendieren noch dauernd drauf aufpassen, ob es mal wieder abgelaufen ist. Oder ob neuere CA-Zertifikate durch OS-Updates installiert werden. Wie so immer: Dinge, die reibungslos laufen, verdrängt man gerne. Oder die Alternative: eigene CA mit OpenSSL aufmachen, Root-Zertifikat in openssl.cafile hinterlegen und dann ein Zertifikat für den SMTP-Server ausstellen.
Grundsätzlich war es ein Hinweis, wie man mit dem Thema umgehen könnte. Oder habe ich noch etwas überlesen? Ansonsten ist mir soweit geholfen.
Viele Grüße
Ralf