Error in certificate

Michael Dukelsky написал(а) к Sergey Anohin в Mar 20 17:28:40 по местному времени:

Привет, Sergey!

10 March 2020 17:05, Sergey Anohin послал(а) письмо к Michael Dukelsky:

SA> А на почтовике у тебя postfix или exim? Покажи кусок где сертификаты
SA> прикручены?

Postfix.
smtpdtls_certfile = /etc/pki/tls/certs/cert.pem
smtpdtlsCAfile = /etc/pki/tls/certs/fullchain.pem
smtpdtlsCApath = /etc/pki/tls/certs
Это софтлинки. Они ссылаются на сертификаты от letsencrypt.

Желаю успехов, Sergey!
За сим откланиваюсь, Michael.

... node (at) f1042 (dot) ru
--- GoldED+/LNX 1.1.5-b20170303

Eugene Subbotin написал(а) к Michael Dukelsky в Mar 20 18:52:22 по местному времени:

On 10.03.2020 18:23, Michael Dukelsky wrote:

ES>> Ага, если ошибок доверия в openssl нет, то есть смысл
ES>> посмотреть что в самом nssdb у тебя: certutil -L -d
ES>> /etc/pki/nssdb что выдаёт?
MD>
MD> Certificate Nickname
MD> Trust Attributes
MD> SSL,S/MIME,JAR/XPI

Хе, так база пустая :) Ну и нафиг она нужна тогда там...
Попробуй вместо -S nss-config-dir="/etc/pki/nssdb" указать:
-S ssl-ca-dir="/etc/pki/tls/certs"

--
... It's full of stars!
--- Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:68.0) Gecko/20100101 Trustedbird/68.5.0

Michael Dukelsky написал(а) к Eugene Subbotin в Mar 20 18:21:16 по местному времени:

Привет, Eugene!

10 March 2020 18:52, Eugene Subbotin послал(а) письмо к Michael Dukelsky:

ES>>> Ага, если ошибок доверия в openssl нет, то есть смысл
ES>>> посмотреть что в самом nssdb у тебя: certutil -L -d
ES>>> /etc/pki/nssdb что выдаёт?
MD>>
MD>> Certificate Nickname
MD>> Trust Attributes
MD>> SSL,S/MIME,JAR/XPI

ES> Хе, так база пустая :) Ну и нафиг она нужна тогда там...
ES> Попробуй вместо -S nss-config-dir="/etc/pki/nssdb" указать:
ES> -S ssl-ca-dir="/etc/pki/tls/certs"

Missing "nss-config-dir" variable.
. . . message not sent.

Желаю успехов, Eugene!
За сим откланиваюсь, Michael.

... node (at) f1042 (dot) ru
--- GoldED+/LNX 1.1.5-b20170303

Eugene Subbotin написал(а) к Michael Dukelsky в Mar 20 19:40:56 по местному времени:

On 10.03.2020 19:21, Michael Dukelsky wrote:

ES>>>> Ага, если ошибок доверия в openssl нет, то есть
ES>>>> смысл посмотреть что в самом nssdb у тебя: certutil
ES>>>> -L -d /etc/pki/nssdb что выдаёт?
MD>>> Certificate Nickname
MD>>> Trust Attributes
MD>>> SSL,S/MIME,JAR/XPI
ES>> Хе, так база пустая :) Ну и нафиг она нужна тогда там...
ES>> Попробуй вместо -S nss-config-dir="/etc/pki/nssdb" указать:
ES>> -S ssl-ca-dir="/etc/pki/tls/certs"
MD> Missing "nss-config-dir" variable.
MD> . . . message not sent.

Ну раз ему так очень надо эту базу, то оставь этот параметр и мой добавь. Видимо
nssdb используется для S/MIME, но т.к. там нет корневых сертификатов, то их
стоит брать из каталога /etc/pki/tls/certs или файла
/etc/pki/tls/certs/ca-bundle.crt соответствующими параметрами ssl-ca-dir или
ssl-ca-file. Странно, конечно, что оно само не подтягивает оттуда их, надо
попробовать будет на CentOS воспроизвести это.

--
... It's full of stars!
--- Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:68.0) Gecko/20100101 Trustedbird/68.5.0

Sergey Anohin написал(а) к Michael Dukelsky в Mar 20 19:52:45 по местному времени:

Нello, Michael!

MD> Postfix.
MD> smtpdtls_certfile = /etc/pki/tls/certs/cert.pem
MD> smtpdtlsCAfile = /etc/pki/tls/certs/fullchain.pem
MD> smtpdtlsCApath = /etc/pki/tls/certs
MD> Это софтлинки. Они ссылаются на сертификаты от letsencrypt.

Я конечно не очень постфикс помню, ну если не поможет совет от Евгения,
на крайний случай попробуй

smtptls_certfile = /etc/letsencrypt/live/mail.example.com/fullchain.pem
smtptls_keyfile = /etc/letsencrypt/live/mail.example.com/privkey.pem
smtptlsCApath = /etc/ssl/certs
smtptlsCAfile = /etc/ssl/certs/ca-bundle.crt

Вроде как это правильный вариант

С наилучшими пожеланиями, Sergey Anohin.

--- wfido

Andrew Kant написал(а) к Michael Dukelsky в Mar 20 20:32:56 по местному времени:

Нello Michael!

Tuesday March 10 2020 16:20, Michael Dukelsky wrote to Andrew Kant:

MD> @RealName: Михаил Дукельский
MD> Привет, Andrew!

MD> 10 March 2020 09:34, Andrew Kant послал(а) письмо к Michael Dukelsky:

MD>>> Не помогло.

AK>> Не надо тупо пользоваться советами, которые не понимаешь. Выясни,
AK>> где твой openssl хранит список доверенных, добавь к нему.

AK>> Как говорится, man openssl :)

AK>> Начни с команды
AK>> openssl verify -showchain твой_файл_ссертификатом
AK>> (при необходимости надо либо указать тип pem/der либо преобразовать
AK>> в то, что он берет по умолчанию - всё есть в мане).

MD> У тебя какой-то другой openssl. У меня в команде openssl verify нет
MD> -show_chain.

а ты хотя-бы man openssl-verify сделал?

VERIFY(1SSL) OpenSSL VERIFY(1SSL)

NAME
openssl-verify, verify - Utility to verify certificates

SYNOPSIS
openssl verify [-help] [-CAfile file] [-CApath directory] [-no-CAfile]
[-no-CApath] [-allowproxy_certs] [-attime timestamp] [-check_sssig]
[-CRLfile file] [-crldownload] [-crl_check] [-crl_checkall] [-engine
id] [-explicitpolicy] [-extended_crl] [-ignorecritical]
[-inhibitany] [-inhibit_map] [-no_check_time] [-partialchain]
[-policy arg] [-policycheck] [-policyprint] [-purpose purpose]
[-suiteB128] [-suiteB_128_only] [-suiteB_192] [-trustedfirst]
[-noalt_chains] [-untrusted file] [-trusted file] [-usedeltas]
[-verbose] [-authlevel level] [-verify_depth num] [-verifyemail
email] [-verifyhostname hostname] [-verify_ip ip] [-verifyname name]
[-x509strict] [-showchain] [-] [certificates]
^^^^^^^^^^^^^

DESCRIPTION
The verify command verifies certificate chains.

Вот тоже самое на оффсайте:

https://www.openssl.org/docs/man1.1....sl-verify.html


Если же у тебя какая-то старая версия, то, сам понимаешь, кто в этом виноват.

Good bye!
Andrew

--- GoldED+/W32 1.1.4.7

Michael Dukelsky написал(а) к Eugene Subbotin в Mar 20 20:39:32 по местному времени:

Привет, Eugene!

10 March 2020 19:40, Eugene Subbotin послал(а) письмо к Michael Dukelsky:

ES> Ну раз ему так очень надо эту базу, то оставь этот параметр и мой
ES> добавь. Видимо nssdb используется для S/MIME, но т.к. там нет корневых
ES> сертификатов, то их стоит брать из каталога /etc/pki/tls/certs или
ES> файла /etc/pki/tls/certs/ca-bundle.crt соответствующими параметрами
ES> ssl-ca-dir или ssl-ca-file. Странно, конечно, что оно само не
ES> подтягивает оттуда их, надо попробовать будет на CentOS воспроизвести
ES> это.

Попробовал. Всё то же. Кроме того, я ещё попробовал взять соответствующие файлы из firefox, переписал их в ~/.config/keys.
certutil -L -d sql:~/.config/keys показывает кучу сертификатов, в том числе и Let's Encrypt Authority X3. Тем не менее, -S nss-config-dir="sql:~/.config/keys" ситуацию не исправляет.

Желаю успехов, Eugene!
За сим откланиваюсь, Michael.

... node (at) f1042 (dot) ru
--- GoldED+/LNX 1.1.5-b20170303

Michael Dukelsky написал(а) к Sergey Anohin в Mar 20 20:48:32 по местному времени:

Привет, Sergey!

10 March 2020 19:52, Sergey Anohin послал(а) письмо к Michael Dukelsky:

SA> Я конечно не очень постфикс помню, ну если не поможет совет от
SA> Евгения, на крайний случай попробуй

SA> smtptls_certfile =
SA> /etc/letsencrypt/live/mail.example.com/fullchain.pem smtptls_keyfile
SA> = /etc/letsencrypt/live/mail.example.com/privkey.pem smtptlsCApath =
SA> /etc/ssl/certs smtptlsCAfile = /etc/ssl/certs/ca-bundle.crt

SA> Вроде как это правильный вариант

Не повлияло никак. В любом случае, thunderbird отправляет на сервер письма без ошибок и сервер доступен через https и браузер не жалуется на сертификат. Скорее, дело в клиенте.

Желаю успехов, Sergey!
За сим откланиваюсь, Michael.

... node (at) f1042 (dot) ru
--- GoldED+/LNX 1.1.5-b20170303

Sergey Anohin написал(а) к Michael Dukelsky в Mar 20 23:35:07 по местному времени:

Нello, Michael!

MD> Попробовал. Всё то же. Кроме того, я ещё попробовал взять соответствующие файлы из firefox, переписал их в ~/.config/keys.
MD> certutil -L -d sql:~/.config/keys показывает кучу сертификатов, в том числе и Let's Encrypt Authority X3. Тем не менее, -S nss-config-dir="sql:~/.config/keys" ситуацию не исправляет.

Попробуй по доке, ну только адаптируй под свой почтовик:

https://coderwall.com/p/ez1x2w/send-mail-like-a-boss

С наилучшими пожеланиями, Sergey Anohin.

--- wfido

Michael Dukelsky написал(а) к Andrew Kant в Mar 20 12:07:12 по местному времени:

Привет, Andrew!

10 March 2020 20:32, Andrew Kant послал(а) письмо к Michael Dukelsky:

AK>>> Начни с команды
AK>>> openssl verify -showchain твой_файл_ссертификатом
AK>>> (при необходимости надо либо указать тип pem/der либо
AK>>> преобразовать в то, что он берет по умолчанию - всё есть в
AK>>> мане).

MD>> У тебя какой-то другой openssl. У меня в команде openssl verify
MD>> нет -show_chain.

AK> а ты хотя-бы man openssl-verify сделал?

Да, конечно. Правда в моём дистрибутиве это man verify, но это не важно. Кроме меня, этот man читал ещё и поиск по ману, /show_chain. И тоже ничего не нашёл.

AK> Если же у тебя какая-то старая версия, то, сам понимаешь, кто в этом
AK> виноват.

Типа все, кто использует дистрибутивы LTS, - дураки.

Желаю успехов, Andrew!
За сим откланиваюсь, Michael.

... node (at) f1042 (dot) ru
--- GoldED+/LNX 1.1.5-b20170303