Error in certificate

Michael Dukelsky написал(а) к All в Mar 20 18:59:36 по местному времени:

Привет, All!

Посылаю имейл mail'ом.
echo $(date '+%F %T') " $msg_body" | env MAILRC=/dev/null /usr/bin/mail -n \
-r "$mailfrom" \
-s "$subject" \
-S smtp="smtp.mydomain.com:587" \
-S smtp-use-starttls \
-S ssl-verify=ignore \
-S smtp-auth=login \
-S smtp-auth-user="$mailfrom" \
-S 'smtp-auth-password=туталежитпароль' \
-S nss-config-dir="/etc/pki/nssdb" \
$mailto

В процессе переговоров с сервером mail получает
220 2.0.0 Ready to start TLS
Error in certificate: Peer's certificate issuer is not recognized.
[...]
issuer=CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US

Из-за того, что указано ssl-verify=ignore, письмо всё равно отсылается. Можно ли как-то сделать, чтобы Let's Encrypt был признан? Или перенаправить вывод в /dev/null и забить на эту проблему?

Желаю успехов, All!
За сим откланиваюсь, Michael.

... node (at) f1042 (dot) ru
--- GoldED+/LNX 1.1.5-b20170303

Sergey Anohin написал(а) к Michael Dukelsky в Mar 20 20:30:58 по местному времени:

Нello, Michael!

MD> Из-за того, что указано ssl-verify=ignore, письмо всё равно отсылается. Можно ли как-то сделать, чтобы Let's Encrypt был признан? Или перенаправить вывод в /dev/null и забить на эту проблему?

Можно, ноги растут скорее всего из-за того что LE CA до сих пор не было в банде корневых сертификатов, как в EL8 я хз, но в 7ке
вроде не было, и оно туда руками суется.

То есть у тебя установлено это:
yum install ca-certificates
Ты качаешь корневые LE и кладешь в каталог
/etc/pki/ca-trust/source/anchors/

и потом делаешь
update-ca-trust

ЗЫ Также с LE приходилось костылить php.ini прописывая список CA там...Это на случай например отправки смтп-пхп модулем
через секурное соединение.

С наилучшими пожеланиями, Sergey Anohin.

--- wfido

Michael Dukelsky написал(а) к Sergey Anohin в Mar 20 21:14:54 по местному времени:

Привет, Sergey!

09 March 2020 20:30, Sergey Anohin послал(а) письмо к Michael Dukelsky:

MD>> Из-за того, что указано ssl-verify=ignore, письмо всё равно
MD>> отсылается. Можно ли как-то сделать, чтобы Let's Encrypt был
MD>> признан? Или перенаправить вывод в /dev/null и забить на эту
MD>> проблему?

SA> Можно, ноги растут скорее всего из-за того что LE CA до сих пор не
SA> было в банде корневых сертификатов, как в EL8 я хз, но в 7ке вроде не
SA> было, и оно туда руками суется.

SA> То есть у тебя установлено это:
SA> yum install ca-certificates
SA> Ты качаешь корневые LE и кладешь в каталог
SA> /etc/pki/ca-trust/source/anchors/

Положил туда это: https://letsencrypt.org/certs/trustid-x3-root.pem.txt (без .txt)

SA> и потом делаешь
SA> update-ca-trust

и сделал
# update-ca-trust extract
Ничего не изменилось. CentOS 7.7.1908.

Желаю успехов, Sergey!
За сим откланиваюсь, Michael.

... node (at) f1042 (dot) ru
--- GoldED+/LNX 1.1.5-b20170303

Sergey Anohin написал(а) к Michael Dukelsky в Mar 20 21:39:13 по местному времени:

Нello, Michael!

MD> Положил туда это: https://letsencrypt.org/certs/trustid-x3-root.pem.txt (без .txt)

Попробуй так:

wget "https://letsencrypt.org/certs/isrgrootx1.pem" -O"/etc/pki/ca-trust/source/anchors/lets-encrypt-isrgrootx1.pem​"
wget "https://letsencrypt.org/certs/lets-e...ss-signed.pem" -O"/etc/pki/ca-trust/source/anchors/lets-encrypt-x3-cross-signed.pem​"
wget "https://letsencrypt.org/certs/letsen...thorityx3.pem" -O"/etc/pki/ca-trust/source/anchors/letsencryptauthorityx3.pem​"


С наилучшими пожеланиями, Sergey Anohin.

--- wfido

Michael Dukelsky написал(а) к Sergey Anohin в Mar 20 21:50:48 по местному времени:

Привет, Sergey!

09 March 2020 21:39, Sergey Anohin послал(а) письмо к Michael Dukelsky:

MD>> Положил туда это:
MD>> https://letsencrypt.org/certs/trustid-x3-root.pem.txt (без .txt)

SA> Попробуй так:

SA> wget "https://letsencrypt.org/certs/isrgrootx1.pem"
SA> -O"/etc/pki/ca-trust/source/anchors/lets-encrypt-isrgrootx1.pem​
^^^^^^^
А зачем это в имени?

Желаю успехов, Sergey!
За сим откланиваюсь, Michael.

... node (at) f1042 (dot) ru
--- GoldED+/LNX 1.1.5-b20170303

Sergey Anohin написал(а) к Michael Dukelsky в Mar 20 21:40:54 по местному времени:

Нello, Michael!
MD> и сделал
MD> # update-ca-trust extract
MD> Ничего не изменилось. CentOS 7.7.1908.

А твой сертификат не попал в REVOKED? Недавно LE рассылал тут письма что некоторые сертификаты надо принудительно перевыпустить.

ЗЫ Манипуляции с корневыми сертификатами ты ведь делаешь на той машине где скрипт запускаешь?

С наилучшими пожеланиями, Sergey Anohin.

--- wfido

Sergey Anohin написал(а) к Michael Dukelsky в Mar 20 22:05:12 по местному времени:

Нello, Michael!

SA>> wget "https://letsencrypt.org/certs/isrgrootx1.pem"
SA>> -O"/etc/pki/ca-trust/source/anchors/lets-encrypt-isrgrootx1.pem​
MD> ^^^^^^^
MD> А зачем это в имени?

возможно копипаста кривая, отсюда

https://blog.bayrell.org/ru/linux/ss...tsencrypt.html

С наилучшими пожеланиями, Sergey Anohin.

--- wfido

Michael Dukelsky написал(а) к Sergey Anohin в Mar 20 22:22:06 по местному времени:

Привет, Sergey!

09 March 2020 21:40, Sergey Anohin послал(а) письмо к Michael Dukelsky:

MD>> и сделал
MD>> # update-ca-trust extract
MD>> Ничего не изменилось. CentOS 7.7.1908.
SA> А твой сертификат не попал в REVOKED? Недавно LE рассылал тут письма
SA> что некоторые сертификаты надо принудительно перевыпустить.

Я такого письма не получал. Сегодня сертификат на сервере обновился.

SA> ЗЫ Манипуляции с корневыми сертификатами ты ведь делаешь на той машине
SA> где скрипт запускаешь?

Да.

Желаю успехов, Sergey!
За сим откланиваюсь, Michael.

... node (at) f1042 (dot) ru
--- GoldED+/LNX 1.1.5-b20170303

Michael Dukelsky написал(а) к Sergey Anohin в Mar 20 22:31:08 по местному времени:

Привет, Sergey!

09 March 2020 22:05, Sergey Anohin послал(а) письмо к Michael Dukelsky:

SA> https://blog.bayrell.org/ru/linux/ss...evogo-sertifik
SA> ata-letsencrypt.html

Не помогло.

Желаю успехов, Sergey!
За сим откланиваюсь, Michael.

... node (at) f1042 (dot) ru
--- GoldED+/LNX 1.1.5-b20170303

Dmitry Ivanov написал(а) к Michael Dukelsky в Mar 20 23:07:07 по местному времени:

Здравствуйте, Michael.

Вы писали 10 марта 2020 г., 1:22:06:

> Я такого письма не получал. Сегодня сертификат на сервере обновился.

https://community.letsencrypt.org/t/...march-4/114864
--
С уважением,
Dmitry
--- InterSquish NNTP Server/FTN Gate