Доброго времени.
Возникла такая проблема с сертифкатом (от StartCom):
Согласно документации, в файле сертификаты должны располагаться в порядке иерархии, начиная с конечного и заканчивая корневым, так и делаю, сначали непосредственно выданный сертификат, ниже промежуточной 2 класса от стартком, вроде конфиг верный, но возникает непонятка с TheBat при подключении через TLS (в самом TheBat отсутствует старкомовский корневой сертифкат), и при соединенеии вылазиет алерт без возможности добавить исключение, примерно след содержания "Сервер не предоставил корневой сертификат и соотв. сертификат не найден в базе доверенных сертификатов", ни "просмотреть сертификат", ни "добавить в исключения" кнопки не активны.Согласно доке dovecot:
1 Dovecot's public certificate
2 TDC SSL Server CA
3 TDC Internet Root CA
4 Globalsign Partners CAДобавляю в файл корневой сертификат StartCom, порядок сверху вниз — конечный-промежуточный-корневой, в итоге TheBat при соединении начинает видеть корневой, НО перестает видеть конечный, картина такая:
"Нет доверия к сертификату, бла бла бла, поскольку его нет в адресной книге", однако кнопки просмотреть сертификат и добавить в исключения уже активны, но в качестве конечного видится не конечный, а корневой, т.е.
Кем выдан — StartCom
Кому выдан — StartCom
---
Как бы так прикрутить, чтобы в сессии выдавался и корневой для добавления и сам конечный для проверки?P.S.
Путь сертификации такой# openssl s_client -connect localhost:pop3s
CONNECTED(00000003)
depth=2 /C=IL/O=StartCom Ltd./OU=Secure Digital Certificate Signing/CN=StartCom Certification Authority
verify error:num=19:self signed certificate in certificate chain
verify return:0
---
Certificate chain
0 s:/description=#/C=RU/ST=#/L=#/O=#/CN=#/emailAddress=#
i:/C=IL/O=StartCom Ltd./OU=Secure Digital Certificate Signing/CN=StartCom Class 2 Primary Intermediate Server CA
1 s:/C=IL/O=StartCom Ltd./OU=Secure Digital Certificate Signing/CN=StartCom Class 2 Primary Intermediate Server CA
i:/C=IL/O=StartCom Ltd./OU=Secure Digital Certificate Signing/CN=StartCom Certification Authority
2 s:/C=IL/O=StartCom Ltd./OU=Secure Digital Certificate Signing/CN=StartCom Certification Authority
i:/C=IL/O=StartCom Ltd./OU=Secure Digital Certificate Signing/CN=StartCom Certification AuthorityТ.е. судя по крику на сельфсайнед, цепочка нарушена, но дока довекот говорит обратное.
> возникает непонятка с TheBat при подключении через TLS (в самом TheBatС другими клиентами как ?
> С другими клиентами как ?С другими то нормально. У бата почему то врожденная ненависть к StartCom, с 3.95 и по сегодняшнюю пятую так и не добавили корневой в базу, хотя темки на их форуме проскакивали с просьбой добавить, а потом благополучно тёрлись.
>> С другими клиентами как ?
> С другими то нормально. У бата почему то врожденная ненависть к StartCom,
> с 3.95 и по сегодняшнюю пятую так и не добавили корневой
> в базу, хотя темки на их форуме проскакивали с просьбой добавить,
> а потом благополучно тёрлись.Кому доверять а кому нет это личное дело разработчиков. И соответственно это проблема не настройки Dovecot а TheBat. Еще раз повторюсь, вы можете добавить вручную в Bat всю цепочку сертификатов StartSSL.
> Как бы так прикрутить, чтобы в сессии выдавался и корневой для добавления
> и сам конечный для проверки?Ясли я правильно понял что вы пытаетесь сделать, то это говорит о непонимании смысла существования сертификатов в SSL.
Правильным решением будет импорт вручную в TheBat всей цепочки сертификатов StartCom, от корневого и до того, которым подписан непосредственно ваш сертификат.
Второй вариант - использовать самоподписной сертификат. По логике при первом обращении клиент должен выдать предупреждение и предоставить возможность добавить его в список доверенных. Bat не использую, как он ведет себя в действительности возможности проверить нет.
> Ясли я правильно понял что вы пытаетесь сделать, то это говорит о
> непонимании смысла существования сертификатов в SSL.
> Правильным решением будет импорт вручную в TheBat всей цепочки сертификатов StartCom, от
> корневого и до того, которым подписан непосредственно ваш сертификат.
> Второй вариант - использовать самоподписной сертификат. По логике при первом обращении
> клиент должен выдать предупреждение и предоставить возможность добавить его в список
> доверенных. Bat не использую, как он ведет себя в действительности возможности
> проверить нет.В потроха, действительно, не вдавался. Возможно трудности перевода thebat, где он говорит что пытается выдрать из сессии корневой сертификат для проверки конечного, меня дизориентировали. Ну и не понятно, зачем в доке довекота информация про подсовывание корневого прямо в файл сертификатов.
>[оверквотинг удален]
>> Правильным решением будет импорт вручную в TheBat всей цепочки сертификатов StartCom, от
>> корневого и до того, которым подписан непосредственно ваш сертификат.
>> Второй вариант - использовать самоподписной сертификат. По логике при первом обращении
>> клиент должен выдать предупреждение и предоставить возможность добавить его в список
>> доверенных. Bat не использую, как он ведет себя в действительности возможности
>> проверить нет.
> В потроха, действительно, не вдавался. Возможно трудности перевода thebat, где он говорит
> что пытается выдрать из сессии корневой сертификат для проверки конечного, меня
> дизориентировали. Ну и не понятно, зачем в доке довекота информация про
> подсовывание корневого прямо в файл сертификатов.Чтобы проверить конечный сертификат необходима вся цепочка. Если конечный подписан корневым, то будет достаточно корневого, но в вашем случае как я понял это не так.
Спасибо, основное понял.
По поводу промежуточного, он действительно необходим в клиенте?
На сколько вижу, его даёт сервер во время сессии.
Например в клиенте удалил промежуточный, а при соединении иерархия всё равно правильная.