Postfix/Dovecot - vice certifikatu

Ahoj,

nemate to nekdo zprovoznene? Co jsem to ted studoval a rozjel, tak oproti default konfiguraci mam:

1] pro dovecot v 10-ssl.conf

local_name fqdn1 {

ssl_cert = < file

ssl_key = < file

}

atd...

To funguje relativne dobre, v tom file je fqdn1+key+CA v tomto poradi. Zvlastni je, ze nektere thunderbirdy jako certifikat pak pro imap+starttls vraci certifikat CA, misto fqdn.

2] postfix master.cf

tam jsem pro smtp+submission+smtps rozdelil konfigurace pro 127.0.0.1, IP1, IP2 a nastavil konkretni certifikaty. Pokud testnu pres openssl s -servername fqdn1, tak to funguje - ukazuje se spravny certifikat. Ale thunderbirdy, resp. nekteri klienti opet s timto maji problem, v logu je casto "SSL error ... unkown ca", pritom pro CA jsou certifikaty na mailserveru pridane do /etc/ssl/.

Co jsem to zkoumal, tak pri tls imap se to napojuje na dovecot, pri tls smtp na postfix. Suma sumarum, externi domena funguje ok, ale interni domena se nejak nezkousava v klientech. Nejaka napoveda?

CA nemuze byt pridana k certifikatu, nebo presneji muze, ale nebude to fungovat. Maximalne tam muzes pridat mezilehle CA (chain). Kdyby si klienti nacitali CA spolecne s certifikatem, ztratil by cely cirkus kolem vydavani overenych certifikatu smysl. Rozdel soubor "file" na samostatny certifikat a klic a CA budes muset nejak naimportovat do thunderbirdu na jednotlivych klientech.

17.10.2017 16:32 MP
Rozbalit Rozbalit vše Re: Postfix/Dovecot - vice certifikatu

Ten CA byl mezilehly, jsem to zapomel upresnit. Nakonec jsem objevil, kde je problem. Pitoma Mozilla s nepodporou systemoveho uloziste, takze se sice zobrazoval spravny certifikat, ale bez importu Root CA nebyl duveryhodny.

Dotaz: Postfix/Dovecot - vice certifikatu

Odpovědi