abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 01:55 | Nová verze

    Byla vydána verze 3.6 multiplatformního integrovaného vývojového prostředí (IDE) pro rychlý vývoj aplikaci (RAD) ve Free Pascalu Lazarus (Wikipedie). Přehled novinek v poznámkách k vydání. Využíván je Free Pascal Compiler (FPC) 3.2.2.

    Ladislav Hagara | Komentářů: 5
    dnes 00:33 | Komunita

    Na čem aktuálně pracují vývojáři GNOME a KDE? Pravidelný přehled novinek v Týden v GNOME a Týden v KDE.

    Ladislav Hagara | Komentářů: 1
    včera 15:33 | Nová verze

    Byla vydána nová verze 8.8 multiplatformní digitální pracovní stanice pro práci s audiem (DAW) Ardour. Přehled oprav, vylepšení a novinek v oficiálním oznámení.

    Ladislav Hagara | Komentářů: 1
    včera 14:44 | Nová verze

    Byla vydána nová major verze 11.0.0 nástroje mitmproxy určeného pro vytváření interaktivních MITM proxy pro HTTP a HTTPS komunikaci. Přehled novinek v příspěvku na blogu. Vypíchnuta je plná podpora HTTP/3 a vylepšená podpora DNS.

    Ladislav Hagara | Komentářů: 0
    včera 05:11 | Nová verze

    Richard Hughes na svém blogu představil nejnovější major verzi 2.0.0 nástroje fwupd umožňujícího aktualizovat firmware zařízení na počítačích s Linuxem. Podrobný přehled novinek v poznámkách k vydání. Přehled podporovaných zařízení, nejnovějších firmwarů a zapojených výrobců na stránkách LVFS (Linux Vendor Firmware Service).

    Ladislav Hagara | Komentářů: 0
    4.10. 15:44 | Zajímavý software

    Počítačová hra Kvark (Steam) od studia Perun Creative dospěla do verze 1.0 (𝕏). Běží také na Linuxu.

    Ladislav Hagara | Komentářů: 4
    4.10. 15:22 | Nová verze

    Byla vydána (𝕏) zářijová aktualizace aneb nová verze 1.94 editoru zdrojových kódů Visual Studio Code (Wikipedie). Přehled novinek i s náhledy a animovanými gify v poznámkách k vydání. Ve verzi 1.94 vyjde také VSCodium, tj. komunitní sestavení Visual Studia Code bez telemetrie a licenčních podmínek Microsoftu.

    Ladislav Hagara | Komentářů: 1
    4.10. 11:22 | Pozvánky

    O víkendu 5. a 6. října se koná ne-konference jOpenSpace. Pokud si chcete kouzlo živých přednášek vychutnat společně s námi, sledujte live streamy: sobota a neděle. Začínáme lehce po 9 hodině ranní. Zpracované záznamy jsou obvykle k dispozici do 14 dní na našem YouTube kanále.

    Zdenek H. | Komentářů: 0
    4.10. 11:11 | Humor

    Hodiny s unixovým časem dnes odbily 20 000 dnů. Unixový čas je počet sekund uplynulých od půlnoci 1. ledna 1970. Dnes ve 02:00 to bylo 1 728 000 000 sekund, tj. 20 000 dnů.

    Ladislav Hagara | Komentářů: 1
    4.10. 05:00 | IT novinky

    Notebook NitroPad V56 od společnosti Nitrokey byl oficiálně certifikován pro Qubes OS verze 4. Qubes OS (Wikipedie) je svobodný a otevřený operační systém zaměřený na bezpečnost desktopu.

    Ladislav Hagara | Komentářů: 8
    Rozcestník

    Dotaz: posfix tls - certifikat

    17.8.2007 10:28 oron | skóre: 27
    posfix tls - certifikat
    Přečteno: 1220×
    zdravim,
    mam postfix+sasl+tls. tls som isiel podla
    http://www.postfix.org/TLS_README.html#quick-start
    cele to chodi. ale ja chcem posielat aj maili z outlloku, ktory ma centralne ulozisko certifikatov. teda mu treba dat certifikat CA aby po kadom spusteni ked sa chce odoslat posta, nedaval hlasenie:
    certifikacny retazec bol spracovany, ale bol ukonceny v 
    korenovom certifikate, ktory nema doveru sprostredkovatela doveryhodnosti.
    poradtite mi ako? v ako formate naimportovat certifikat do outlooku?.
    skusam tak ze prevediem certifikat CA z pem do der:
    openssl x509 -in cacert.pem -out cacert.der -outform DER
    
    cecert.der naimportujem cez IE do uloziska doveryhodnych korenovych cert. uradov. co ale tiez nepomaha, dostavam hlasenie:
    certifikat, ktory lze pouzit pouze jako koncovou entity,
    je pouzivan jako CA, nebo naopak.
    prosim mate niekto skusenost ako tam ten certifikat dostat,
    aby outlook poslal postu bez tych hlasok ?

    skusam rozne navody, ale neviem najst ten spravny
    vdaka

    Odpovědi

    17.8.2007 10:37 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: posfix tls - certifikat
    Odhaduji, že máte pouze jediný certifikát (kořenový) podepsaný sám sebou, který zároveň používáte jako certifikát serveru. Outlook zřejmě vyžaduje, abyste měl kořenový certifikát a tím pak podepsal certifikát serveru.
    17.8.2007 10:37 Dušan Hokův | skóre: 43 | blog: Fedora a další...
    Rozbalit Rozbalit vše Re: posfix tls - certifikat
    na tendle dotaz bych se spise ptal autoru outlooku, protoze napriklad inteligentnejsi mailove klienty pri prvnim odesilani mailu zobrazi dotaz o certifikatu a bud jej akceptuji docasne, nebo natrvalo...
    17.8.2007 10:51 oron | skóre: 27
    Rozbalit Rozbalit vše Re: posfix tls - certifikat
    ano, thunderbird to vie :) ale outlook nie

    to filip j.:
    "Odhaduji, že máte pouze jediný certifikát (kořenový) podepsaný sám sebou, který zároveň používáte jako certifikát serveru."
    podla toho navodu co som isiel to asi tak nie je ...
    1. ./CA -newca - vytvorenie CA
    2. vytvorenie privatneho kluca a ziadosti o certifikat
    openssl req -new -nodes -keyout FOO-key.pem -out FOO-req.pem -days 365
    3. podpisanie certifikatu:
    openssl ca -out FOO-cert.pem -infiles FOO-req.pem

    tento postup obsahuju vsetky navody co som nasiel ,
    ale ako na ten outlook sa nejako neviem dopatrat ...

    nenajde sa niekto kto pouziva outlook a ide mu to ?
    17.8.2007 11:16 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: posfix tls - certifikat
    Aha, ten návod jsem nezkoumal. A který certifikát se pokoušíte naimportovat do Outlooku? Ten kořenový, nebo přímo certifikát serveru?
    17.8.2007 12:31 oron | skóre: 27
    Rozbalit Rozbalit vše Re: posfix tls - certifikat
    cd /etc/pki/tls/misc
    ./CA -newca
    
    vytvori sa mi struktura adresarov v /etc/pki/CA, kde mam cacert.pem
    a private/cakey.pem (sukromny kluc)

    importujem cacert.pem - certifikat CA

    skusam to uz dost dlho a nejako stale nic
    hmm ... alebo ak niekto ma iny funkcny postup, prosim napiste, alebo dajte odkaz
    vdaka
    17.8.2007 12:53 Dušan Hokův | skóre: 43 | blog: Fedora a další...
    Rozbalit Rozbalit vše Re: posfix tls - certifikat
    Zkus tohle, treba ten zaver hlavne.
    17.8.2007 16:35 oron | skóre: 27
    Rozbalit Rozbalit vše Re: posfix tls - certifikat
    tak som to skusil najskor podla:
    http://www.linux.com/base/ldp/howto/SSL-Certificates-HOWTO/x175.htmlt

    teda som zadal
    openssl x509 -in cacert.pem -out cacert.crt
    
    a ten prekopiroval na windows a nainstaloval. a zase hlasenie
    certifikato ktory je mozne pouzit iba ako koncovu entitu je pouzivany
    ako CA alebo naopak
    tak som ho zmazal z windows. a skusil ako pisu dalej:

    certifikat serveru(FOO-cert.pem) + privatny kluc serveru(FOO-key.pem)
    som dal ako certifikaty pre dovecot. restart dovecot.
    do ie som zadal https://www.firma.sk:995
    a skutocne mozem stiahnut certifikat. ale po nainstalovani to nie je certifikat
    korenovy. teda sa nenainstaloval do doveryhodnych korenovych cert. uradov, ale
    do "ostatni uzivatelia" a teda to nejde ...

    nenapada vas este nieco ... ja uz z toho blbnem ...

    dik
    17.8.2007 18:26 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: posfix tls - certifikat
    To pořád vypadá, jakoby ten kořenový certifikát byl nějaký divný. Můžete sem dát jeho výpis openssl x509 -text -in cacert.pem?
    17.8.2007 20:35 Ripper | skóre: 31
    Rozbalit Rozbalit vše Re: posfix tls - certifikat
    Tohle jsem taky řešil a nevyřešil a nejsem zdaleka sám. Vypadá to, že produkty MS bezproblémově akceptují pouze certifikáty, které Vám vystaví nějaký akreditovaný vystavovatel certifikátů a MS jej uzná. I bankovní certifikáty do IE řvou, ale je pravda, že jen jednou narozdíl od Outlooku, který po restartu řve pokaždé.
    18.8.2007 12:06 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: posfix tls - certifikat
    Já mám tedy ve Windows nainstalováno X kořenových certifikátů od certifikačních autorit, se kterými rozhodně MS nic nemá a neví o nich, a fungují bez problémů.
    20.8.2007 09:46 oron | skóre: 27
    Rozbalit Rozbalit vše Re: posfix tls - certifikat
    napisem pre istotu cely postup bude to trocha dlhsie
    mam to na skusobnom pc kde mam vytvorenu domenu pokus.sk
    host -t mx pokus.sk
    pokus.sk mail is handled by 0 mail.pokus.sk.
    
    vytvorenie CA:
    root@mail misc]# cd /etc/pki/tls/misc/
    [root@mail misc]# ./CA -newca
    mkdir: cannot create directory `../../CA': File exists
    CA certificate filename (or enter to create)
    
    Making CA certificate ...
    Generating a 1024 bit RSA private key
    ......++++++
    ......++++++
    writing new private key to '../../CA/private/./cakey.pem'
    Enter PEM pass phrase:
    Verifying - Enter PEM pass phrase:
    -----
    You are about to be asked to enter information that will be incorporated
    into your certificate request.
    What you are about to enter is what is called a Distinguished Name or a DN.
    There are quite a few fields but you can leave some blank
    For some fields there will be a default value,
    If you enter '.', the field will be left blank.
    -----
    Country Name (2 letter code) [GB]:SK
    State or Province Name (full name) [Berkshire]:SlovakRepublic
    Locality Name (eg, city) [Newbury]:Mesto
    Organization Name (eg, company) [My Company Ltd]:Firma
    Organizational Unit Name (eg, section) []:CertifikacnaAutorita
    Common Name (eg, your name or your server's hostname) []:mail.pokus.sk
    Email Address []:postmaster@pokus.sk
    
    Please enter the following 'extra' attributes
    to be sent with your certificate request
    A challenge password []:
    An optional company name []:
    Using configuration from /etc/pki/tls/openssl.cnf
    Enter pass phrase for ../../CA/private/./cakey.pem:
    Check that the request matches the signature
    Signature ok
    Certificate Details:
            Serial Number: 0 (0x0)
            Validity
                Not Before: Aug 20 07:07:44 2007 GMT
                Not After : Aug 19 07:07:44 2010 GMT
            Subject:
                countryName               = SK
                stateOrProvinceName       = SlovakRepublic
                organizationName          = Firma
                organizationalUnitName    = CertifikacnaAutorita
                commonName                = mail.pokus.sk
                emailAddress              = postmaster@pokus.sk
            X509v3 extensions:
                X509v3 Basic Constraints:
                    CA:FALSE
                Netscape Comment:
                    OpenSSL Generated Certificate
                X509v3 Subject Key Identifier:
                    70:16:12:BB:01:4A:35:BD:3F:0E:FD:DB:46:5A:8E:DA:D2:B7:85:2E
                X509v3 Authority Key Identifier:
                    keyid:70:16:12:BB:01:4A:35:BD:3F:0E:FD:DB:46:5A:8E:DA:D2:B7:85:2E
    
    Certificate is to be certified until Aug 19 07:07:44 2010 GMT (1095 days)
    
    Write out database with 1 new entries
    Data Base Updated
    [root@mail misc]#
    
    
    
    vytvorenie serveroveho certifikatu:
    
    [root@mail misc]# openssl req -new -nodes -keyout FOO-key.pem -out FOO-req.pem -days 365
    Generating a 1024 bit RSA private key
    ...........++++++
    ...........................................++++++
    writing new private key to 'FOO-key.pem'
    -----
    You are about to be asked to enter information that will be incorporated
    into your certificate request.
    What you are about to enter is what is called a Distinguished Name or a DN.
    There are quite a few fields but you can leave some blank
    For some fields there will be a default value,
    If you enter '.', the field will be left blank.
    -----
    Country Name (2 letter code) [GB]:SK
    State or Province Name (full name) [Berkshire]:SlovakRepublic
    Locality Name (eg, city) [Newbury]:Mesto
    Organization Name (eg, company) [My Company Ltd]:Firma
    Organizational Unit Name (eg, section) []:serverovyCertifikat
    Common Name (eg, your name or your server's hostname) []:mail.pokus.sk
    Email Address []:postmaster@pokus.sk
    
    Please enter the following 'extra' attributes
    to be sent with your certificate request
    A challenge password []:
    An optional company name []:
    [root@mail misc]#
    
    podpis CA
    [root@mail misc]# openssl ca -out FOO-cert.pem -infiles FOO-req.pem
    Using configuration from /etc/pki/tls/openssl.cnf
    Enter pass phrase for ../../CA/private/cakey.pem:
    Check that the request matches the signature
    Signature ok
    Certificate Details:
            Serial Number: 1 (0x1)
            Validity
                Not Before: Aug 20 07:09:52 2007 GMT
                Not After : Aug 19 07:09:52 2008 GMT
            Subject:
                countryName               = SK
                stateOrProvinceName       = SlovakRepublic
                organizationName          = Firma
                organizationalUnitName    = serverovyCertifikat
                commonName                = mail.pokus.sk
                emailAddress              = postmaster@pokus.sk
            X509v3 extensions:
                X509v3 Basic Constraints:
                    CA:FALSE
                Netscape Comment:
                    OpenSSL Generated Certificate
                X509v3 Subject Key Identifier:
                    7D:04:53:AD:5F:D5:8C:B8:54:7C:26:9F:1A:33:DD:5C:28:F4:56:89
                X509v3 Authority Key Identifier:
                    keyid:70:16:12:BB:01:4A:35:BD:3F:0E:FD:DB:46:5A:8E:DA:D2:B7:85:2E
    
    Certificate is to be certified until Aug 19 07:09:52 2008 GMT (365 days)
    Sign the certificate? [y/n]:y
    
    
    1 out of 1 certificate requests certified, commit? [y/n]y
    Write out database with 1 new entries
    Data Base Updated
    [root@mail misc]#
    
    /etc/postfix/main.cf:
    smtpd_use_tls = yes
    smtpd_tls_CAfile = /etc/postfix/certs/cacert.pem
    smtpd_tls_cert_file = /etc/postfix/certs/FOO-cert.pem
    smtpd_tls_key_file = /etc/postfix/certs/FOO-key.pem
    smtpd_tls_received_header = yes
    tls_random_source = dev:/dev/urandom
    
    prevod do DER
    openssl x509 -in cacert.pem -out cacert.der -outform DER
    
    a import cacer.der do windows, a outlook hlasi:
    certifikat, ktory lze pouzit pouze jako koncovou entity, je pouzivan jako CA, nebo naopak.

    ale teraz uz nie som si isty ani v akej forme-ako? sa ma importovat certifikat CA
    do windows ...
    21.8.2007 12:31 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: posfix tls - certifikat
    Ten certifikát má divné X509v3 extensions, proto se asi Outlooku nelíbí. Podle mne by měl mít
    X509v3 extensions:
      X509v3 Key Usage: critical
        Certificate Sign, CRL Sign
      X509v3 Certificate Policies:
        Policy: X509v3 Any Policy
    
    Buď ten skript CA.pl předává divné parametry, nebo máte něco špatně v /etc/pki/tls/openssl.cnf. Podívejte se třeba na návod na OpenSSL na Rootu, je tam dobře popsáno, jak OpenSSL nastavit a jak vygenerovat certifikát.
    22.8.2007 12:47 oron | skóre: 27
    Rozbalit Rozbalit vše Re: posfix tls - certifikat
    filip vdaka, ide to.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.