|
|
#21
10.03.2020, 18:42
|
|||
|
|||
Error in certificate
Michael Dukelsky написал(а) к Sergey Anohin в Mar 20 17:28:40 по местному времени:
Привет, Sergey! 10 March 2020 17:05, Sergey Anohin послал(а) письмо к Michael Dukelsky: SA> А на почтовике у тебя postfix или exim? Покажи кусок где сертификаты SA> прикручены? Postfix. smtpdtls_certfile = /etc/pki/tls/certs/cert.pem smtpdtlsCAfile = /etc/pki/tls/certs/fullchain.pem smtpdtlsCApath = /etc/pki/tls/certs Это софтлинки. Они ссылаются на сертификаты от letsencrypt. Желаю успехов, Sergey! За сим откланиваюсь, Michael. ... node (at) f1042 (dot) ru --- GoldED+/LNX 1.1.5-b20170303 
|
|
#22
10.03.2020, 19:03
|
|||
|
|||
|
Re: Error in certificate
Eugene Subbotin написал(а) к Michael Dukelsky в Mar 20 18:52:22 по местному времени:
On 10.03.2020 18:23, Michael Dukelsky wrote: ES>> Ага, если ошибок доверия в openssl нет, то есть смысл ES>> посмотреть что в самом nssdb у тебя: certutil -L -d ES>> /etc/pki/nssdb что выдаёт? MD> MD> Certificate Nickname MD> Trust Attributes MD> SSL,S/MIME,JAR/XPI Хе, так база пустая :) Ну и нафиг она нужна тогда там... Попробуй вместо -S nss-config-dir="/etc/pki/nssdb" указать: -S ssl-ca-dir="/etc/pki/tls/certs" -- ... It's full of stars! --- Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:68.0) Gecko/20100101 Trustedbird/68.5.0
|
|
#23
10.03.2020, 19:32
|
|||
|
|||
|
Error in certificate
Michael Dukelsky написал(а) к Eugene Subbotin в Mar 20 18:21:16 по местному времени:
Привет, Eugene! 10 March 2020 18:52, Eugene Subbotin послал(а) письмо к Michael Dukelsky: ES>>> Ага, если ошибок доверия в openssl нет, то есть смысл ES>>> посмотреть что в самом nssdb у тебя: certutil -L -d ES>>> /etc/pki/nssdb что выдаёт? MD>> MD>> Certificate Nickname MD>> Trust Attributes MD>> SSL,S/MIME,JAR/XPI ES> Хе, так база пустая :) Ну и нафиг она нужна тогда там... ES> Попробуй вместо -S nss-config-dir="/etc/pki/nssdb" указать: ES> -S ssl-ca-dir="/etc/pki/tls/certs" Missing "nss-config-dir" variable. . . . message not sent. Желаю успехов, Eugene! За сим откланиваюсь, Michael. ... node (at) f1042 (dot) ru --- GoldED+/LNX 1.1.5-b20170303
|
|
#24
10.03.2020, 19:52
|
|||
|
|||
|
Re: Error in certificate
Eugene Subbotin написал(а) к Michael Dukelsky в Mar 20 19:40:56 по местному времени:
On 10.03.2020 19:21, Michael Dukelsky wrote: ES>>>> Ага, если ошибок доверия в openssl нет, то есть ES>>>> смысл посмотреть что в самом nssdb у тебя: certutil ES>>>> -L -d /etc/pki/nssdb что выдаёт? MD>>> Certificate Nickname MD>>> Trust Attributes MD>>> SSL,S/MIME,JAR/XPI ES>> Хе, так база пустая :) Ну и нафиг она нужна тогда там... ES>> Попробуй вместо -S nss-config-dir="/etc/pki/nssdb" указать: ES>> -S ssl-ca-dir="/etc/pki/tls/certs" MD> Missing "nss-config-dir" variable. MD> . . . message not sent. Ну раз ему так очень надо эту базу, то оставь этот параметр и мой добавь. Видимо nssdb используется для S/MIME, но т.к. там нет корневых сертификатов, то их стоит брать из каталога /etc/pki/tls/certs или файла /etc/pki/tls/certs/ca-bundle.crt соответствующими параметрами ssl-ca-dir или ssl-ca-file. Странно, конечно, что оно само не подтягивает оттуда их, надо попробовать будет на CentOS воспроизвести это. -- ... It's full of stars! --- Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:68.0) Gecko/20100101 Trustedbird/68.5.0
|
|
#25
10.03.2020, 21:14
|
|||
|
|||
|
Error in certificate
Sergey Anohin написал(а) к Michael Dukelsky в Mar 20 19:52:45 по местному времени:
Нello, Michael! MD> Postfix. MD> smtpdtls_certfile = /etc/pki/tls/certs/cert.pem MD> smtpdtlsCAfile = /etc/pki/tls/certs/fullchain.pem MD> smtpdtlsCApath = /etc/pki/tls/certs MD> Это софтлинки. Они ссылаются на сертификаты от letsencrypt. Я конечно не очень постфикс помню, ну если не поможет совет от Евгения, на крайний случай попробуй smtptls_certfile = /etc/letsencrypt/live/mail.example.com/fullchain.pem smtptls_keyfile = /etc/letsencrypt/live/mail.example.com/privkey.pem smtptlsCApath = /etc/ssl/certs smtptlsCAfile = /etc/ssl/certs/ca-bundle.crt Вроде как это правильный вариант С наилучшими пожеланиями, Sergey Anohin. --- wfido
|
|
#26
10.03.2020, 22:42
|
|||
|
|||
|
Error in certificate
Andrew Kant написал(а) к Michael Dukelsky в Mar 20 20:32:56 по местному времени:
Нello Michael! Tuesday March 10 2020 16:20, Michael Dukelsky wrote to Andrew Kant: MD> @RealName: Михаил Дукельский MD> Привет, Andrew! MD> 10 March 2020 09:34, Andrew Kant послал(а) письмо к Michael Dukelsky: MD>>> Не помогло. AK>> Не надо тупо пользоваться советами, которые не понимаешь. Выясни, AK>> где твой openssl хранит список доверенных, добавь к нему. AK>> Как говорится, man openssl :) AK>> Начни с команды AK>> openssl verify -showchain твой_файл_ссертификатом AK>> (при необходимости надо либо указать тип pem/der либо преобразовать AK>> в то, что он берет по умолчанию - всё есть в мане). MD> У тебя какой-то другой openssl. У меня в команде openssl verify нет MD> -show_chain. а ты хотя-бы man openssl-verify сделал? VERIFY(1SSL) OpenSSL VERIFY(1SSL) NAME openssl-verify, verify - Utility to verify certificates SYNOPSIS openssl verify [-help] [-CAfile file] [-CApath directory] [-no-CAfile] [-no-CApath] [-allowproxy_certs] [-attime timestamp] [-check_sssig] [-CRLfile file] [-crldownload] [-crl_check] [-crl_checkall] [-engine id] [-explicitpolicy] [-extended_crl] [-ignorecritical] [-inhibitany] [-inhibit_map] [-no_check_time] [-partialchain] [-policy arg] [-policycheck] [-policyprint] [-purpose purpose] [-suiteB128] [-suiteB_128_only] [-suiteB_192] [-trustedfirst] [-noalt_chains] [-untrusted file] [-trusted file] [-usedeltas] [-verbose] [-authlevel level] [-verify_depth num] [-verifyemail email] [-verifyhostname hostname] [-verify_ip ip] [-verifyname name] [-x509strict] [-showchain] [-] [certificates] ^^^^^^^^^^^^^ DESCRIPTION The verify command verifies certificate chains. Вот тоже самое на оффсайте: https://www.openssl.org/docs/man1.1....sl-verify.html Если же у тебя какая-то старая версия, то, сам понимаешь, кто в этом виноват. Good bye! Andrew --- GoldED+/W32 1.1.4.7
|
|
#27
10.03.2020, 22:53
|
|||
|
|||
|
Error in certificate
Michael Dukelsky написал(а) к Eugene Subbotin в Mar 20 20:39:32 по местному времени:
Привет, Eugene! 10 March 2020 19:40, Eugene Subbotin послал(а) письмо к Michael Dukelsky: ES> Ну раз ему так очень надо эту базу, то оставь этот параметр и мой ES> добавь. Видимо nssdb используется для S/MIME, но т.к. там нет корневых ES> сертификатов, то их стоит брать из каталога /etc/pki/tls/certs или ES> файла /etc/pki/tls/certs/ca-bundle.crt соответствующими параметрами ES> ssl-ca-dir или ssl-ca-file. Странно, конечно, что оно само не ES> подтягивает оттуда их, надо попробовать будет на CentOS воспроизвести ES> это. Попробовал. Всё то же. Кроме того, я ещё попробовал взять соответствующие файлы из firefox, переписал их в ~/.config/keys. certutil -L -d sql:~/.config/keys показывает кучу сертификатов, в том числе и Let's Encrypt Authority X3. Тем не менее, -S nss-config-dir="sql:~/.config/keys" ситуацию не исправляет. Желаю успехов, Eugene! За сим откланиваюсь, Michael. ... node (at) f1042 (dot) ru --- GoldED+/LNX 1.1.5-b20170303
|
|
#28
10.03.2020, 22:53
|
|||
|
|||
|
Error in certificate
Michael Dukelsky написал(а) к Sergey Anohin в Mar 20 20:48:32 по местному времени:
Привет, Sergey! 10 March 2020 19:52, Sergey Anohin послал(а) письмо к Michael Dukelsky: SA> Я конечно не очень постфикс помню, ну если не поможет совет от SA> Евгения, на крайний случай попробуй SA> smtptls_certfile = SA> /etc/letsencrypt/live/mail.example.com/fullchain.pem smtptls_keyfile SA> = /etc/letsencrypt/live/mail.example.com/privkey.pem smtptlsCApath = SA> /etc/ssl/certs smtptlsCAfile = /etc/ssl/certs/ca-bundle.crt SA> Вроде как это правильный вариант Не повлияло никак. В любом случае, thunderbird отправляет на сервер письма без ошибок и сервер доступен через https и браузер не жалуется на сертификат. Скорее, дело в клиенте. Желаю успехов, Sergey! За сим откланиваюсь, Michael. ... node (at) f1042 (dot) ru --- GoldED+/LNX 1.1.5-b20170303
|
|
#29
11.03.2020, 00:55
|
|||
|
|||
|
Error in certificate
Sergey Anohin написал(а) к Michael Dukelsky в Mar 20 23:35:07 по местному времени:
Нello, Michael! MD> Попробовал. Всё то же. Кроме того, я ещё попробовал взять соответствующие файлы из firefox, переписал их в ~/.config/keys. MD> certutil -L -d sql:~/.config/keys показывает кучу сертификатов, в том числе и Let's Encrypt Authority X3. Тем не менее, -S nss-config-dir="sql:~/.config/keys" ситуацию не исправляет. Попробуй по доке, ну только адаптируй под свой почтовик: https://coderwall.com/p/ez1x2w/send-mail-like-a-boss С наилучшими пожеланиями, Sergey Anohin. --- wfido
|
|
#30
11.03.2020, 13:14
|
|||
|
|||
|
Error in certificate
Michael Dukelsky написал(а) к Andrew Kant в Mar 20 12:07:12 по местному времени:
Привет, Andrew! 10 March 2020 20:32, Andrew Kant послал(а) письмо к Michael Dukelsky: AK>>> Начни с команды AK>>> openssl verify -showchain твой_файл_ссертификатом AK>>> (при необходимости надо либо указать тип pem/der либо AK>>> преобразовать в то, что он берет по умолчанию - всё есть в AK>>> мане). MD>> У тебя какой-то другой openssl. У меня в команде openssl verify MD>> нет -show_chain. AK> а ты хотя-бы man openssl-verify сделал? Да, конечно. Правда в моём дистрибутиве это man verify, но это не важно. Кроме меня, этот man читал ещё и поиск по ману, /show_chain. И тоже ничего не нашёл. AK> Если же у тебя какая-то старая версия, то, сам понимаешь, кто в этом AK> виноват. Типа все, кто использует дистрибутивы LTS, - дураки. Желаю успехов, Andrew! За сим откланиваюсь, Michael. ... node (at) f1042 (dot) ru --- GoldED+/LNX 1.1.5-b20170303
|
Линейный вид
