форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (Почта / Linux)
Изначальное сообщение		[ Отслеживать ]

"SSL сертификат в dovecot"	+/–
Сообщение от rx10nth (ok) on 13-Авг-11, 16:14
Доброго времени. Возникла такая проблема с сертифкатом (от StartCom): Согласно документации, в файле сертификаты должны располагаться в порядке иерархии, начиная с конечного и заканчивая корневым, так и делаю, сначали непосредственно выданный сертификат, ниже промежуточной 2 класса от стартком, вроде конфиг верный, но возникает непонятка с TheBat при подключении через TLS (в самом TheBat отсутствует старкомовский корневой сертифкат), и при соединенеии вылазиет алерт без возможности добавить исключение, примерно след содержания "Сервер не предоставил корневой сертификат и соотв. сертификат не найден в базе доверенных сертификатов", ни "просмотреть сертификат", ни "добавить в исключения" кнопки не активны. Согласно доке dovecot: 1 Dovecot's public certificate 2 TDC SSL Server CA 3 TDC Internet Root CA 4 Globalsign Partners CA Добавляю в файл корневой сертификат StartCom, порядок сверху вниз — конечный-промежуточный-корневой, в итоге TheBat при соединении начинает видеть корневой, НО перестает видеть конечный, картина такая: "Нет доверия к сертификату, бла бла бла, поскольку его нет в адресной книге", однако кнопки просмотреть сертификат и добавить в исключения уже активны, но в качестве конечного видится не конечный, а корневой, т.е. Кем выдан — StartCom Кому выдан — StartCom --- Как бы так прикрутить, чтобы в сессии выдавался и корневой для добавления и сам конечный для проверки? P.S. Путь сертификации такой # openssl s_client -connect localhost:pop3s CONNECTED(00000003) depth=2 /C=IL/O=StartCom Ltd./OU=Secure Digital Certificate Signing/CN=StartCom Certification Authority verify error:num=19:self signed certificate in certificate chain verify return:0 --- Certificate chain 0 s:/description=#/C=RU/ST=#/L=#/O=#/CN=#/emailAddress=#    i:/C=IL/O=StartCom Ltd./OU=Secure Digital Certificate Signing/CN=StartCom Class 2 Primary Intermediate Server CA 1 s:/C=IL/O=StartCom Ltd./OU=Secure Digital Certificate Signing/CN=StartCom Class 2 Primary Intermediate Server CA    i:/C=IL/O=StartCom Ltd./OU=Secure Digital Certificate Signing/CN=StartCom Certification Authority 2 s:/C=IL/O=StartCom Ltd./OU=Secure Digital Certificate Signing/CN=StartCom Certification Authority    i:/C=IL/O=StartCom Ltd./OU=Secure Digital Certificate Signing/CN=StartCom Certification Authority Т.е. судя по крику на сельфсайнед, цепочка нарушена, но дока довекот говорит обратное.
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "SSL сертификат в dovecot"	+/–
Сообщение от AdVv (ok) on 14-Авг-11, 00:00
> возникает непонятка с TheBat при подключении через TLS (в самом TheBat С другими клиентами как ?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	3. "SSL сертификат в dovecot"	+/–
	Сообщение от rx10nth (ok) on 14-Авг-11, 13:09
	> С другими клиентами как ? С другими то нормально. У бата почему то врожденная ненависть к StartCom, с 3.95 и по сегодняшнюю пятую так и не добавили корневой в базу, хотя темки на их форуме проскакивали с просьбой добавить, а потом благополучно тёрлись.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	5. "SSL сертификат в dovecot"	+/–
	Сообщение от AdVv (ok) on 14-Авг-11, 23:44
	>> С другими клиентами как ? > С другими то нормально. У бата почему то врожденная ненависть к StartCom, > с 3.95 и по сегодняшнюю пятую так и не добавили корневой > в базу, хотя темки на их форуме проскакивали с просьбой добавить, > а потом благополучно тёрлись. Кому доверять а кому нет это личное дело разработчиков. И соответственно это проблема не настройки Dovecot а TheBat. Еще раз повторюсь, вы можете добавить вручную в Bat всю цепочку сертификатов StartSSL.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

2. "SSL сертификат в dovecot"	+/–
Сообщение от AdVv (ok) on 14-Авг-11, 00:24
> Как бы так прикрутить, чтобы в сессии выдавался и корневой для добавления > и сам конечный для проверки? Ясли я правильно понял что вы пытаетесь сделать, то это говорит о непонимании смысла существования сертификатов в SSL. Правильным решением будет импорт вручную в TheBat всей цепочки сертификатов StartCom, от корневого и до того, которым подписан непосредственно ваш сертификат. Второй вариант - использовать самоподписной сертификат. По логике при первом обращении клиент должен выдать предупреждение и предоставить возможность добавить его в список доверенных. Bat не использую, как он ведет себя в действительности возможности проверить нет.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	4. "SSL сертификат в dovecot"	+/–
	Сообщение от rx10nth (ok) on 14-Авг-11, 13:10
	> Ясли я правильно понял что вы пытаетесь сделать, то это говорит о > непонимании смысла существования сертификатов в SSL. > Правильным решением будет импорт вручную в TheBat всей цепочки сертификатов StartCom, от > корневого и до того, которым подписан непосредственно ваш сертификат. > Второй вариант - использовать самоподписной сертификат. По логике при первом обращении > клиент должен выдать предупреждение и предоставить возможность добавить его в список > доверенных. Bat не использую, как он ведет себя в действительности возможности > проверить нет. В потроха, действительно, не вдавался. Возможно трудности перевода thebat, где он говорит что пытается выдрать из сессии корневой сертификат для проверки конечного, меня дизориентировали. Ну и не понятно, зачем в доке довекота информация про подсовывание корневого прямо в файл сертификатов.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	6. "SSL сертификат в dovecot"	+/–
	Сообщение от AdVv (ok) on 14-Авг-11, 23:48
	>[оверквотинг удален] >> Правильным решением будет импорт вручную в TheBat всей цепочки сертификатов StartCom, от >> корневого и до того, которым подписан непосредственно ваш сертификат. >> Второй вариант - использовать самоподписной сертификат. По логике при первом обращении >> клиент должен выдать предупреждение и предоставить возможность добавить его в список >> доверенных. Bat не использую, как он ведет себя в действительности возможности >> проверить нет. > В потроха, действительно, не вдавался. Возможно трудности перевода thebat, где он говорит > что пытается выдрать из сессии корневой сертификат для проверки конечного, меня > дизориентировали. Ну и не понятно, зачем в доке довекота информация про > подсовывание корневого прямо в файл сертификатов. Чтобы проверить конечный сертификат необходима вся цепочка. Если конечный подписан корневым, то будет достаточно корневого, но в вашем случае как я понял это не так.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	7. "SSL сертификат в dovecot"	+/–
	Сообщение от rx10nth (ok) on 15-Авг-11, 18:19
	Спасибо, основное понял. По поводу промежуточного, он действительно необходим в клиенте? На сколько вижу, его даёт сервер во время сессии. Например в клиенте удалил промежуточный, а при соединении иерархия всё равно правильная.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема