Добрый день ALL!Продолжаю настраивать почтовик(postfix dovecot mysql)
прикрутил roundcube? есть необходимость вытащить его наружу.
настроил TLS при входе на серв пишет что работаю по шифрованому, вроде все гуд.а про СЕРТИФИКАТ говорит что не соответствует URL и не Доверен!
КАК бы правильно, сертификат я и не создавал для ROUNDCUBE
Инет облазил но так и не нашел как создать серт для Roundcube.
> Добрый день ALL!
> Продолжаю настраивать почтовик(postfix dovecot mysql)
> прикрутил roundcube? есть необходимость вытащить его наружу.
> настроил TLS при входе на серв пишет что работаю по шифрованому, вроде
> все гуд.
> а про СЕРТИФИКАТ говорит что не соответствует URL и не Доверен!
> КАК бы правильно, сертификат я и не создавал для ROUNDCUBE
> Инет облазил но так и не нашел как создать серт для Roundcube.заказать в соотв центре сертификации, например thawte или verisign
>> Добрый день ALL!
>> Продолжаю настраивать почтовик(postfix dovecot mysql)
>> прикрутил roundcube? есть необходимость вытащить его наружу.
>> настроил TLS при входе на серв пишет что работаю по шифрованому, вроде
>> все гуд.
>> а про СЕРТИФИКАТ говорит что не соответствует URL и не Доверен!
>> КАК бы правильно, сертификат я и не создавал для ROUNDCUBE
>> Инет облазил но так и не нашел как создать серт для Roundcube.
> заказать в соотв центре сертификации, например thawte или verisignЗабыл уточнить БЕСПЛАТНЫЙ СЕРТИФИКАТ. начальство не даст денег
> Забыл уточнить БЕСПЛАТНЫЙ СЕРТИФИКАТ. начальство не даст денегДелать самоподписаный, но к нему паравозом идет необходимость каждому юзеру согласиться с тем, что этот сертификат не имеет корней в общеизвестных СА.
Либо, если есть хотя бы один легальный сертификат от глобального СА, делать самодельный сертификат, подписаный легальным сертификатом, который, по сути, может быть один на все случаи.
>> Забыл уточнить БЕСПЛАТНЫЙ СЕРТИФИКАТ. начальство не даст денег
> Делать самоподписаный, но к нему паравозом идет необходимость каждому юзеру согласиться
> с тем, что этот сертификат не имеет корней в общеизвестных СА.
> Либо, если есть хотя бы один легальный сертификат от глобального СА, делать
> самодельный сертификат, подписаный легальным сертификатом, который, по сути, может быть
> один на все случаи.Нашел статейку, но уж чтот я не уверен что это подойдет для моего случая
http://help.ubuntu.ru/wiki/%D1%80%D1%83&...
по возможности подскажите(сылкой, текстом) мне необходим https, для того чтобы roundcube выставить наружу
> Нашел статейку, но уж чтот я не уверен что это подойдет для моего случаяНа всякий случай уточняю: если у вас нету виртуальных хостов в апаче на разных доменах - это ваш случай. В противном случае придется еще гуглить "apache SNI"
> мне необходим https, для того чтобы roundcube выставить наружу (?)
В обшем случае - нет, но без хттпс это сильно небезопасно. Траффик между клиентом и сервером гоняется открыто, включая логин-пароль, что позволяет легко и ненапряжно снифать их. Если сделать SSL-криптование, то жизнь сильно упрощается.
>> Нашел статейку, но уж чтот я не уверен что это подойдет для моего случая
> На всякий случай уточняю: если у вас нету виртуальных хостов в апаче
> на разных доменах - это ваш случай. В противном случае придется
> еще гуглить "apache SNI"
>> мне необходим https, для того чтобы roundcube выставить наружу (?)
> В обшем случае - нет, но без хттпс это сильно небезопасно. Траффик
> между клиентом и сервером гоняется открыто, включая логин-пароль, что позволяет легко
> и ненапряжно снифать их. Если сделать SSL-криптование, то жизнь сильно упрощается.а какие необходимо будет указывать конфиги в ROUNDCUBE или APACHE, то что есть новые сертификаты?(которые я попытаюсь сделать)
и да у меня нету виртуальных хостов в апаче, спасиб
> а какие необходимо будет указывать конфиги в ROUNDCUBE или APACHE, то что
> есть новые сертификаты?(которые я попытаюсь сделать)SSLCertificateFile /etc/ssl/httpd/svn.example.net.crt
SSLCertificateKeyFile /etc/ssl/httpd/svn.example.net.key
SSLCertificateChainFile /etc/ssl/httpd/startssl-ca-sub.class1.server.pem
SSLCACertificateFile /etc/ssl/httpd/startssl-rootca.crt
>> а какие необходимо будет указывать конфиги в ROUNDCUBE или APACHE, то что
>> есть новые сертификаты?(которые я попытаюсь сделать)
> SSLCertificateFile /etc/ssl/httpd/svn.example.net.crt
> SSLCertificateKeyFile /etc/ssl/httpd/svn.example.net.key
> SSLCertificateChainFile /etc/ssl/httpd/startssl-ca-sub.class1.server.pem
> SSLCACertificateFile /etc/ssl/httpd/startssl-rootca.crtэто необходимо прописать в POSTFIX, да?
а в dovecot нужно что-нить добавить?
>>> а какие необходимо будет указывать конфиги в ROUNDCUBE или APACHE, то что
>>> есть новые сертификаты?(которые я попытаюсь сделать)
>> SSLCertificateFile /etc/ssl/httpd/svn.example.net.crt
>> SSLCertificateKeyFile /etc/ssl/httpd/svn.example.net.key
>> SSLCertificateChainFile /etc/ssl/httpd/startssl-ca-sub.class1.server.pem
>> SSLCACertificateFile /etc/ssl/httpd/startssl-rootca.crt
> это необходимо прописать в POSTFIX, да?в апаче.
> а в dovecot нужно что-нить добавить?
вы гуглом пробовали пользоваться? Советую начать
> а какие необходимо будет указывать конфиги в ROUNDCUBE или APACHEНу, в конфиге апача нужно будет повесить ССЛ на путь к кубу, а в самом кубе в конфиге запретить откликаться при обращении без ССЛ.
>> а какие необходимо будет указывать конфиги в ROUNDCUBE или APACHE
> Ну, в конфиге апача нужно будет повесить ССЛ на путь к кубу,
> а в самом кубе в конфиге запретить откликаться при обращении без
> ССЛ.Можно по подробней, что прописать в апаче?
>>> а какие необходимо будет указывать конфиги в ROUNDCUBE или APACHE
>> Ну, в конфиге апача нужно будет повесить ССЛ на путь к кубу,
>> а в самом кубе в конфиге запретить откликаться при обращении без
>> ССЛ.
> Можно по подробней, что прописать в апаче?в детский сад, тьфу, на работу, Вас тоже мама за ручку водит?
>>>> а какие необходимо будет указывать конфиги в ROUNDCUBE или APACHE
>>> Ну, в конфиге апача нужно будет повесить ССЛ на путь к кубу,
>>> а в самом кубе в конфиге запретить откликаться при обращении без
>>> ССЛ.
>> Можно по подробней, что прописать в апаче?
> в детский сад, тьфу, на работу, Вас тоже мама за ручку водит?Спасибо за полезную информацию)
для начала попробую получить сертификат с https://www.startssl.com
>>>>> а какие необходимо будет указывать конфиги в ROUNDCUBE или APACHE
>>>> Ну, в конфиге апача нужно будет повесить ССЛ на путь к кубу,
>>>> а в самом кубе в конфиге запретить откликаться при обращении без
>>>> ССЛ.
>>> Можно по подробней, что прописать в апаче?
>> в детский сад, тьфу, на работу, Вас тоже мама за ручку водит?
> Спасибо за полезную информацию)
> для начала попробую получить сертификат с https://www.startssl.comа сгенерить самоподписной НЕ? Никак:
- для apache
- для pop3/imap
- для smtp (если нужно)?
>[оверквотинг удален]
>>>>> ССЛ.
>>>> Можно по подробней, что прописать в апаче?
>>> в детский сад, тьфу, на работу, Вас тоже мама за ручку водит?
>> Спасибо за полезную информацию)
>> для начала попробую получить сертификат с https://www.startssl.com
> а сгенерить самоподписной НЕ? Никак:
> - для apache
> - для pop3/imap
> - для smtp (если нужно)
> ?буду счас пробовать, для меня это просто темный лес, вот по этому и кипишую)
Видимо придется создавать самопальный.
На сайте https://www.startssl.com
Enter Domain Name
Enter the domain name you want to have validated.
You must be the owner of the top-level domain, sub domains are not supported.как я понял они могут предложить сертификаты только для доменов первого уровня.
> На сайте https://www.startssl.com
> Enter Domain Name
> Enter the domain name you want to have validated.
> You must be the owner of the top-level domain, sub domains are
> not supported.
> как я понял они могут предложить сертификаты только для доменов первого уровня.неправильно поняли. Если ты создаешь сертификат для www.example.net, то ты должен быть владельцем домена example.net. Там как правило верификация через почту идет. Так что нужна возможность получать почту на webmaster/hostmaster/postmaster.
>> На сайте https://www.startssl.com
>> Enter Domain Name
>> Enter the domain name you want to have validated.
>> You must be the owner of the top-level domain, sub domains are
>> not supported.
>> как я понял они могут предложить сертификаты только для доменов первого уровня.
> неправильно поняли. Если ты создаешь сертификат для www.example.net, то ты должен быть
> владельцем домена example.net. Там как правило верификация через почту идет. Так
> что нужна возможность получать почту на webmaster/hostmaster/postmaster.мой домен el.vrn.ru
т.е. нужно создать еще webmaster/hostmaster/ ящики, и тогда серты подтвердятся.недопонимаю
>[оверквотинг удален]
>>> Enter the domain name you want to have validated.
>>> You must be the owner of the top-level domain, sub domains are
>>> not supported.
>>> как я понял они могут предложить сертификаты только для доменов первого уровня.
>> неправильно поняли. Если ты создаешь сертификат для www.example.net, то ты должен быть
>> владельцем домена example.net. Там как правило верификация через почту идет. Так
>> что нужна возможность получать почту на webmaster/hostmaster/postmaster.
> мой домен el.vrn.ru
> т.е. нужно создать еще webmaster/hostmaster/ ящики, и тогда серты подтвердятся.
> недопонимаюну почитайте про openssl, приличных статей и на русском языке полно.
Знаете в чем проблема: в Вашем подходе - вы пытаетесь сделать по подсказкам, советам,
без достаточного понимания, в итоге - масса непонимания, это несомненно вариант, но
с непредсказуемыми последствиями."Сейчас я на форуме много вопросов задам - быстро получу ответы и "длинная дистанция"
превратится в "короткую"... " - это хорошо для общего понимания, но не для конкретных
действий"ответьте себе на вопросы:
- что есть Secure Socket Layer
- для чего нужна технология SSL
- принципы работы SSL
- какие сервисы удобно пускать через SSL
- что есть сертификаты?
- чем сертификаты подписанные root CA отличаются от самоподписных
и тд и тп...самое легкое: создание самоподписных сертификатов для pop3/imap
дальше само пойдет.Добавив немного понимания и смысла в свои действия - снимите кучу ненужных вопросов
для себя и для остальных и останутся вопросы по существу.PS. Есть еще одна категория спрашивающих, у которой подход: да мне это не нужно, я не
администратор, так временно заменяю и нужно быстро сделать!
Такой категории - просто ЗАПРЕЩЕНО выполнять работы связанные с безопасностью технологий
и данным подходом.
>[оверквотинг удален]
> самое легкое: создание самоподписных сертификатов для pop3/imap
> дальше само пойдет.
> Добавив немного понимания и смысла в свои действия - снимите кучу ненужных
> вопросов
> для себя и для остальных и останутся вопросы по существу.
> PS. Есть еще одна категория спрашивающих, у которой подход: да мне это
> не нужно, я не
> администратор, так временно заменяю и нужно быстро сделать!
> Такой категории - просто ЗАПРЕЩЕНО выполнять работы связанные с безопасностью технологий
> и данным подходом.адекватная критика эт всегда хорошо.
настроить HTTPS получилось, но конеш минус что каждый 1-вый раз просит принять сертификат.
у меня есть пару вопросов, каким образом можно защитить web почтарь, от взлома ну и т.д.
на данный момент настроено TLS и HTTPS(самоподписанный)
> у меня есть пару вопросов, каким образом можно защитить web почтарь, от
> взлома ну и т.д.нанять грамотного сисадмина ;)
>> у меня есть пару вопросов, каким образом можно защитить web почтарь, от
>> взлома ну и т.д.
> нанять грамотного сисадмина ;)еще варианты есть у вас?
Эх Пятниццо;)
> Забыл уточнить БЕСПЛАТНЫЙ СЕРТИФИКАТ. начальство не даст денегstartssl.com
>> Забыл уточнить БЕСПЛАТНЫЙ СЕРТИФИКАТ. начальство не даст денег
> startssl.comВы получали сертификат на домен какого уровня?
у меня домен второго уровня el.vrn.ruа на сайте мне вот что сказали:
Enter the domain name you want to have validated.
You must be the owner of the top-level domain, sub domains are not supported.Вы решили эту траблу?
>> Забыл уточнить БЕСПЛАТНЫЙ СЕРТИФИКАТ. начальство не даст денег
> startssl.comработает только с верхними доменами, общался с тех подд. + бесплатно только для ФИЗ ЛИЦ.
мне не подходит все два варианта.
но все равно огромное спасибо