AbcLinuxu:/ Poradna / Linuxová poradna / posfix tls - certifikat

Štítky: e-mail, IDE, Internet, KDE, kernel, Linux, MTA, Postfix, programování, Thunderbird, TLS, Windows

Dotaz: posfix tls - certifikat

17.8.2007 10:28 oron | skóre: 27
posfix tls - certifikat

Přečteno: 1264×

Odpovědět | Admin

zdravim,
mam postfix+sasl+tls. tls som isiel podla
http://www.postfix.org/TLS_README.html#quick-start
cele to chodi. ale ja chcem posielat aj maili z outlloku, ktory ma centralne ulozisko certifikatov. teda mu treba dat certifikat CA aby po kadom spusteni ked sa chce odoslat posta, nedaval hlasenie:

certifikacny retazec bol spracovany, ale bol ukonceny v 
korenovom certifikate, ktory nema doveru sprostredkovatela doveryhodnosti.

poradtite mi ako? v ako formate naimportovat certifikat do outlooku?.
skusam tak ze prevediem certifikat CA z pem do der:

openssl x509 -in cacert.pem -out cacert.der -outform DER

cecert.der naimportujem cez IE do uloziska doveryhodnych korenovych cert. uradov. co ale tiez nepomaha, dostavam hlasenie:

certifikat, ktory lze pouzit pouze jako koncovou entity,
 je pouzivan jako CA, nebo naopak.

prosim mate niekto skusenost ako tam ten certifikat dostat,
aby outlook poslal postu bez tych hlasok ?

skusam rozne navody, ale neviem najst ten spravny
vdaka

Nástroje: Začni sledovat (0) ?

Odpovědi

17.8.2007 10:37 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: posfix tls - certifikat

Odhaduji, že máte pouze jediný certifikát (kořenový) podepsaný sám sebou, který zároveň používáte jako certifikát serveru. Outlook zřejmě vyžaduje, abyste měl kořenový certifikát a tím pak podepsal certifikát serveru.

17.8.2007 10:37 Dušan Hokův | skóre: 43 | blog: Fedora a další...
Rozbalit Rozbalit vše Re: posfix tls - certifikat

na tendle dotaz bych se spise ptal autoru outlooku, protoze napriklad inteligentnejsi mailove klienty pri prvnim odesilani mailu zobrazi dotaz o certifikatu a bud jej akceptuji docasne, nebo natrvalo...

17.8.2007 10:51 oron | skóre: 27
Rozbalit Rozbalit vše Re: posfix tls - certifikat

ano, thunderbird to vie :) ale outlook nie

to filip j.:
"Odhaduji, že máte pouze jediný certifikát (kořenový) podepsaný sám sebou, který zároveň používáte jako certifikát serveru."
podla toho navodu co som isiel to asi tak nie je ...
1. ./CA -newca - vytvorenie CA
2. vytvorenie privatneho kluca a ziadosti o certifikat
openssl req -new -nodes -keyout FOO-key.pem -out FOO-req.pem -days 365
3. podpisanie certifikatu:
openssl ca -out FOO-cert.pem -infiles FOO-req.pem

tento postup obsahuju vsetky navody co som nasiel ,
ale ako na ten outlook sa nejako neviem dopatrat ...

nenajde sa niekto kto pouziva outlook a ide mu to ?

17.8.2007 11:16 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: posfix tls - certifikat

Aha, ten návod jsem nezkoumal. A který certifikát se pokoušíte naimportovat do Outlooku? Ten kořenový, nebo přímo certifikát serveru?

17.8.2007 12:31 oron | skóre: 27
Rozbalit Rozbalit vše Re: posfix tls - certifikat

cd /etc/pki/tls/misc
./CA -newca

vytvori sa mi struktura adresarov v /etc/pki/CA, kde mam cacert.pem
a private/cakey.pem (sukromny kluc)

importujem cacert.pem - certifikat CA

skusam to uz dost dlho a nejako stale nic
hmm ... alebo ak niekto ma iny funkcny postup, prosim napiste, alebo dajte odkaz
vdaka

17.8.2007 12:53 Dušan Hokův | skóre: 43 | blog: Fedora a další...
Rozbalit Rozbalit vše Re: posfix tls - certifikat

Zkus tohle, treba ten zaver hlavne.

17.8.2007 16:35 oron | skóre: 27
Rozbalit Rozbalit vše Re: posfix tls - certifikat

tak som to skusil najskor podla:
http://www.linux.com/base/ldp/howto/SSL-Certificates-HOWTO/x175.htmlt

teda som zadal

openssl x509 -in cacert.pem -out cacert.crt

a ten prekopiroval na windows a nainstaloval. a zase hlasenie

certifikato ktory je mozne pouzit iba ako koncovu entitu je pouzivany

ako CA alebo naopak

tak som ho zmazal z windows. a skusil ako pisu dalej:

certifikat serveru(FOO-cert.pem) + privatny kluc serveru(FOO-key.pem)
som dal ako certifikaty pre dovecot. restart dovecot.
do ie som zadal https://www.firma.sk:995
a skutocne mozem stiahnut certifikat. ale po nainstalovani to nie je certifikat
korenovy. teda sa nenainstaloval do doveryhodnych korenovych cert. uradov, ale
do "ostatni uzivatelia" a teda to nejde ...

nenapada vas este nieco ... ja uz z toho blbnem ...

dik

17.8.2007 18:26 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: posfix tls - certifikat

To pořád vypadá, jakoby ten kořenový certifikát byl nějaký divný. Můžete sem dát jeho výpis openssl x509 -text -in cacert.pem?

17.8.2007 20:35 Ripper | skóre: 31
Rozbalit Rozbalit vše Re: posfix tls - certifikat

Tohle jsem taky řešil a nevyřešil a nejsem zdaleka sám. Vypadá to, že produkty MS bezproblémově akceptují pouze certifikáty, které Vám vystaví nějaký akreditovaný vystavovatel certifikátů a MS jej uzná. I bankovní certifikáty do IE řvou, ale je pravda, že jen jednou narozdíl od Outlooku, který po restartu řve pokaždé.

18.8.2007 12:06 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: posfix tls - certifikat

Já mám tedy ve Windows nainstalováno X kořenových certifikátů od certifikačních autorit, se kterými rozhodně MS nic nemá a neví o nich, a fungují bez problémů.

20.8.2007 09:46 oron | skóre: 27
Rozbalit Rozbalit vše Re: posfix tls - certifikat

napisem pre istotu cely postup bude to trocha dlhsie
mam to na skusobnom pc kde mam vytvorenu domenu pokus.sk

host -t mx pokus.sk
pokus.sk mail is handled by 0 mail.pokus.sk.

vytvorenie CA:

root@mail misc]# cd /etc/pki/tls/misc/
[root@mail misc]# ./CA -newca
mkdir: cannot create directory `../../CA': File exists
CA certificate filename (or enter to create)

Making CA certificate ...
Generating a 1024 bit RSA private key
......++++++
......++++++
writing new private key to '../../CA/private/./cakey.pem'
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [GB]:SK
State or Province Name (full name) [Berkshire]:SlovakRepublic
Locality Name (eg, city) [Newbury]:Mesto
Organization Name (eg, company) [My Company Ltd]:Firma
Organizational Unit Name (eg, section) []:CertifikacnaAutorita
Common Name (eg, your name or your server's hostname) []:mail.pokus.sk
Email Address []:postmaster@pokus.sk

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Using configuration from /etc/pki/tls/openssl.cnf
Enter pass phrase for ../../CA/private/./cakey.pem:
Check that the request matches the signature
Signature ok
Certificate Details:
        Serial Number: 0 (0x0)
        Validity
            Not Before: Aug 20 07:07:44 2007 GMT
            Not After : Aug 19 07:07:44 2010 GMT
        Subject:
            countryName               = SK
            stateOrProvinceName       = SlovakRepublic
            organizationName          = Firma
            organizationalUnitName    = CertifikacnaAutorita
            commonName                = mail.pokus.sk
            emailAddress              = postmaster@pokus.sk
        X509v3 extensions:
            X509v3 Basic Constraints:
                CA:FALSE
            Netscape Comment:
                OpenSSL Generated Certificate
            X509v3 Subject Key Identifier:
                70:16:12:BB:01:4A:35:BD:3F:0E:FD:DB:46:5A:8E:DA:D2:B7:85:2E
            X509v3 Authority Key Identifier:
                keyid:70:16:12:BB:01:4A:35:BD:3F:0E:FD:DB:46:5A:8E:DA:D2:B7:85:2E

Certificate is to be certified until Aug 19 07:07:44 2010 GMT (1095 days)

Write out database with 1 new entries
Data Base Updated
[root@mail misc]#

vytvorenie serveroveho certifikatu:


[root@mail misc]# openssl req -new -nodes -keyout FOO-key.pem -out FOO-req.pem -days 365
Generating a 1024 bit RSA private key
...........++++++
...........................................++++++
writing new private key to 'FOO-key.pem'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [GB]:SK
State or Province Name (full name) [Berkshire]:SlovakRepublic
Locality Name (eg, city) [Newbury]:Mesto
Organization Name (eg, company) [My Company Ltd]:Firma
Organizational Unit Name (eg, section) []:serverovyCertifikat
Common Name (eg, your name or your server's hostname) []:mail.pokus.sk
Email Address []:postmaster@pokus.sk

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
[root@mail misc]#

podpis CA

[root@mail misc]# openssl ca -out FOO-cert.pem -infiles FOO-req.pem
Using configuration from /etc/pki/tls/openssl.cnf
Enter pass phrase for ../../CA/private/cakey.pem:
Check that the request matches the signature
Signature ok
Certificate Details:
        Serial Number: 1 (0x1)
        Validity
            Not Before: Aug 20 07:09:52 2007 GMT
            Not After : Aug 19 07:09:52 2008 GMT
        Subject:
            countryName               = SK
            stateOrProvinceName       = SlovakRepublic
            organizationName          = Firma
            organizationalUnitName    = serverovyCertifikat
            commonName                = mail.pokus.sk
            emailAddress              = postmaster@pokus.sk
        X509v3 extensions:
            X509v3 Basic Constraints:
                CA:FALSE
            Netscape Comment:
                OpenSSL Generated Certificate
            X509v3 Subject Key Identifier:
                7D:04:53:AD:5F:D5:8C:B8:54:7C:26:9F:1A:33:DD:5C:28:F4:56:89
            X509v3 Authority Key Identifier:
                keyid:70:16:12:BB:01:4A:35:BD:3F:0E:FD:DB:46:5A:8E:DA:D2:B7:85:2E

Certificate is to be certified until Aug 19 07:09:52 2008 GMT (365 days)
Sign the certificate? [y/n]:y


1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
[root@mail misc]#

/etc/postfix/main.cf:

smtpd_use_tls = yes
smtpd_tls_CAfile = /etc/postfix/certs/cacert.pem
smtpd_tls_cert_file = /etc/postfix/certs/FOO-cert.pem
smtpd_tls_key_file = /etc/postfix/certs/FOO-key.pem
smtpd_tls_received_header = yes
tls_random_source = dev:/dev/urandom

prevod do DER

openssl x509 -in cacert.pem -out cacert.der -outform DER

a import cacer.der do windows, a outlook hlasi:
certifikat, ktory lze pouzit pouze jako koncovou entity, je pouzivan jako CA, nebo naopak.

ale teraz uz nie som si isty ani v akej forme-ako? sa ma importovat certifikat CA
do windows ...

21.8.2007 12:31 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: posfix tls - certifikat

Ten certifikát má divné X509v3 extensions, proto se asi Outlooku nelíbí. Podle mne by měl mít

X509v3 extensions:
  X509v3 Key Usage: critical
    Certificate Sign, CRL Sign
  X509v3 Certificate Policies:
    Policy: X509v3 Any Policy

Buď ten skript CA.pl předává divné parametry, nebo máte něco špatně v /etc/pki/tls/openssl.cnf. Podívejte se třeba na návod na OpenSSL na Rootu, je tam dobře popsáno, jak OpenSSL nastavit a jak vygenerovat certifikát.

22.8.2007 12:47 oron | skóre: 27
Rozbalit Rozbalit vše Re: posfix tls - certifikat

filip vdaka, ide to.

Založit nové vlákno • Nahoru

Tiskni Sdílej: