|
|
#11
10.03.2020, 02:23
|
|||
|
|||
Re: Error in certificate
Eugene Subbotin написал(а) к Michael Dukelsky в Mar 20 02:14:43 по местному времени:
On 09.03.2020 19:59, Michael Dukelsky wrote: MD> Посылаю имейл mail'ом. MD> echo $(date '+%F %T') " $msg_body" | env MAILRC=/dev/null MD> /usr/bin/mail -n \ -r "$mailfrom" \ MD> -s "$subject" \ MD> -S smtp="smtp.mydomain.com:587" \ MD> -S smtp-use-starttls \ MD> -S ssl-verify=ignore \ MD> -S smtp-auth=login \ MD> -S smtp-auth-user="$mailfrom" \ MD> -S 'smtp-auth-password=туталежитпароль' \ MD> -S nss-config-dir="/etc/pki/nssdb" \ MD> $mailto MD> MD> В процессе переговоров с сервером mail получает MD> 220 2.0.0 Ready to start TLS MD> Error in certificate: Peer's certificate issuer is not MD> recognized. [...] MD> issuer=CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US MD> MD> Из-за того, что указано ssl-verify=ignore, письмо всё равно MD> отсылается. Можно ли как-то сделать, чтобы Let's Encrypt был MD> признан? Или перенаправить вывод в /dev/null и забить на эту MD> проблему? Желаю успехов, All! За сим откланиваюсь, Michael. На хосте вся цепочка подключена? Проверь: openssl s_client -starttls smtp -connect smtp.mydomain.com:587 -servername smtp.mydomain.com Не ругается ни на что? Должно всю доверенную цепочку показать и признать как-то так: CONNECTED(00000005) depth=2 O = Digital Signature Trust Co., CN = DST Root CA X3 verify return:1 depth=1 C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3 verify return:1 depth=0 CN = smtp.mydomain.com verify return:1 --- Certificate chain 0 s:CN = smtp.mydomain.com i:C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3 1 s:C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3 i:O = Digital Signature Trust Co., CN = DST Root CA X3 --- Server certificate -- ... It's full of stars! --- Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:68.0) Gecko/20100101 Trustedbird/68.5.0 
|
|
#12
10.03.2020, 11:52
|
|||
|
|||
|
Error in certificate
Andrew Kant написал(а) к Michael Dukelsky в Mar 20 09:34:15 по местному времени:
Нello Michael! Monday March 09 2020 22:31, Michael Dukelsky wrote to Sergey Anohin: MD> @RealName: Михаил Дукельский MD> Привет, Sergey! MD> 09 March 2020 22:05, Sergey Anohin послал(а) письмо к Michael Dukelsky: SA>> https://blog.bayrell.org/ru/linux/ss...ornevogo-serti SA>> fik ata-letsencrypt.html MD> Не помогло. Не надо тупо пользоваться советами, которые не понимаешь. Выясни, где твой openssl хранит список доверенных, добавь к нему. Как говорится, man openssl :) Начни с команды openssl verify -showchain твой_файл_ссертификатом (при необходимости надо либо указать тип pem/der либо преобразовать в то, что он берет по умолчанию - всё есть в мане). Good bye! Andrew --- GoldED+/W32 1.1.4.7
|
|
#13
10.03.2020, 13:14
|
|||
|
|||
|
Re: Error in certificate
Sergey Anohin написал(а) к Eugene Subbotin в Mar 20 11:52:26 по местному времени:
Нello, Eugene! ES> На хосте вся цепочка подключена? кстати да, из-за этого тоже косяки могут быть, vsftpd например хочет fullchain а в эксиме можно так: tls_certificate = cert.pem tls_privatekey = privkey.pem tlsverifycertificates = chain.pem в постфиксе, не помню, но наверняка либо так, либо с fullchain С наилучшими пожеланиями, Sergey Anohin. --- wfido
|
|
#14
10.03.2020, 14:43
|
|||
|
|||
|
Error in certificate
Alexey Fayans написал(а) к Michael Dukelsky в Mar 20 13:13:39 по местному времени:
Нello Michael! On Mon, 09 Mar 2020 at 18:59 +0300, you wrote to All: MD> Из-за того, что указано ssl-verify=ignore, письмо всё равно MD> отсылается. Можно ли как-то сделать, чтобы Let's Encrypt был признан? MD> Или перенаправить вывод в /dev/null и забить на эту проблему? А можно айпишник SMTP сервера? Интересно посмотреть, всё ли там хорошо с сертификатом. Вообще, проблема должна решаться с помощью yum -y update ca-certificates без каких-либо дополнительных плясок с бубном. ... Music Station BBS | https://bbs.bsrealm.net | telnet://bbs.bsrealm.net --- GoldED+/W32-MSVC 1.1.5-b20180707
|
|
#15
10.03.2020, 17:32
|
|||
|
|||
|
Error in certificate
Michael Dukelsky написал(а) к Eugene Subbotin в Mar 20 16:18:52 по местному времени:
Привет, Eugene! 10 March 2020 02:14, Eugene Subbotin послал(а) письмо к Michael Dukelsky: MD>> Посылаю имейл mail'ом. MD>> echo $(date '+%F %T') " $msg_body" | env MAILRC=/dev/null MD>> /usr/bin/mail -n \ -r "$mailfrom" \ MD>> -s "$subject" \ MD>> -S smtp="smtp.mydomain.com:587" \ MD>> -S smtp-use-starttls \ MD>> -S ssl-verify=ignore \ MD>> -S smtp-auth=login \ MD>> -S smtp-auth-user="$mailfrom" \ MD>> -S 'smtp-auth-password=туталежитпароль' \ MD>> -S nss-config-dir="/etc/pki/nssdb" \ MD>> $mailto MD>> MD>> В процессе переговоров с сервером mail получает MD>> 220 2.0.0 Ready to start TLS MD>> Error in certificate: Peer's certificate issuer is not MD>> recognized. [...] MD>> issuer=CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US MD>> MD>> Из-за того, что указано ssl-verify=ignore, письмо всё равно MD>> отсылается. Можно ли как-то сделать, чтобы Let's Encrypt был MD>> признан? Или перенаправить вывод в /dev/null и забить на эту MD>> проблему? Желаю успехов, All! За сим откланиваюсь, Michael. ES> На хосте вся цепочка подключена? ES> Проверь: openssl s_client -starttls smtp -connect ES> smtp.mydomain.com:587 -servername smtp.mydomain.com Не ругается ни на ES> что? Должно всю доверенную цепочку показать и признать как-то так: ES> CONNECTED(00000005) ES> depth=2 O = Digital Signature Trust Co., CN = DST Root CA X3 ES> verify return:1 ES> depth=1 C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3 ES> verify return:1 ES> depth=0 CN = smtp.mydomain.com ES> verify return:1 ES> --- ES> Certificate chain ES> 0 s:CN = smtp.mydomain.com ES> i:C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3 ES> 1 s:C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3 ES> i:O = Digital Signature Trust Co., CN = DST Root CA X3 ES> --- ES> Server certificate Так и есть. Желаю успехов, Eugene! За сим откланиваюсь, Michael. ... node (at) f1042 (dot) ru --- GoldED+/LNX 1.1.5-b20170303
|
|
#16
10.03.2020, 17:32
|
|||
|
|||
|
Error in certificate
Michael Dukelsky написал(а) к Andrew Kant в Mar 20 16:20:40 по местному времени:
Привет, Andrew! 10 March 2020 09:34, Andrew Kant послал(а) письмо к Michael Dukelsky: MD>> Не помогло. AK> Не надо тупо пользоваться советами, которые не понимаешь. Выясни, где AK> твой openssl хранит список доверенных, добавь к нему. AK> Как говорится, man openssl :) AK> Начни с команды AK> openssl verify -showchain твой_файл_ссертификатом AK> (при необходимости надо либо указать тип pem/der либо преобразовать в AK> то, что он берет по умолчанию - всё есть в мане). У тебя какой-то другой openssl. У меня в команде openssl verify нет -show_chain. Желаю успехов, Andrew! За сим откланиваюсь, Michael. ... node (at) f1042 (dot) ru --- GoldED+/LNX 1.1.5-b20170303
|
|
#17
10.03.2020, 17:52
|
|||
|
|||
|
Error in certificate
Michael Dukelsky написал(а) к Dmitry Ivanov в Mar 20 16:45:10 по местному времени:
Привет, Dmitry! 09 March 2020 23:07, Dmitry Ivanov послал(а) письмо к Michael Dukelsky: >> Я такого письма не получал. Сегодня сертификат на сервере обновился. DI> https://community.letsencrypt.org/t/...tificates-on-m DI> arch-4/114864 Моего серийного номера в списке нет. Желаю успехов, Dmitry! За сим откланиваюсь, Michael. ... node (at) f1042 (dot) ru --- GoldED+/LNX 1.1.5-b20170303
|
|
#18
10.03.2020, 18:03
|
|||
|
|||
|
Re: Error in certificate
Eugene Subbotin написал(а) к Michael Dukelsky в Mar 20 17:54:04 по местному времени:
On 10.03.2020 17:18, Michael Dukelsky wrote: ES>> На хосте вся цепочка подключена? ES>> Проверь: openssl s_client -starttls smtp -connect ES>> smtp.mydomain.com:587 -servername smtp.mydomain.com Не ES>> ругается ни на что? Должно всю доверенную цепочку показать ES>> и признать как-то так: ES>> CONNECTED(00000005) ES>> depth=2 O = Digital Signature Trust Co., CN = DST Root CA X3 ES>> verify return:1 ES>> depth=1 C = US, O = Let's Encrypt, CN = Let's Encrypt ES>> Authority X3 verify return:1 ES>> depth=0 CN = smtp.mydomain.com ES>> verify return:1 ES>> --- ES>> Certificate chain ES>> 0 s:CN = smtp.mydomain.com ES>> i:C = US, O = Let's Encrypt, CN = Let's Encrypt ES>> Authority X3 1 s:C = US, O = Let's Encrypt, CN = Let's ES>> Encrypt Authority X3 i:O = Digital Signature Trust Co., ES>> CN = DST Root CA X3 --- ES>> Server certificate MD> Так и есть. Ага, если ошибок доверия в openssl нет, то есть смысл посмотреть что в самом nssdb у тебя: certutil -L -d /etc/pki/nssdb что выдаёт? -- ... It's full of stars! --- Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:68.0) Gecko/20100101 Trustedbird/68.5.0
|
|
#19
10.03.2020, 18:22
|
|||
|
|||
|
Error in certificate
Sergey Anohin написал(а) к Michael Dukelsky в Mar 20 17:05:56 по местному времени:
Нello, Michael! MD> Моего серийного номера в списке нет. А на почтовике у тебя postfix или exim? Покажи кусок где сертификаты прикручены? С наилучшими пожеланиями, Sergey Anohin. --- wfido
|
|
#20
10.03.2020, 18:42
|
|||
|
|||
|
Error in certificate
Michael Dukelsky написал(а) к Eugene Subbotin в Mar 20 17:23:16 по местному времени:
Привет, Eugene! 10 March 2020 17:54, Eugene Subbotin послал(а) письмо к Michael Dukelsky: ES> Ага, если ошибок доверия в openssl нет, то есть смысл посмотреть что в ES> самом nssdb у тебя: certutil -L -d /etc/pki/nssdb что выдаёт? Certificate Nickname Trust Attributes SSL,S/MIME,JAR/XPI Желаю успехов, Eugene! За сим откланиваюсь, Michael. ... node (at) f1042 (dot) ru --- GoldED+/LNX 1.1.5-b20170303
|
Линейный вид
