abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

včera 23:00 | Nová verze

Po 9 týdnech vývoje od vydání Linuxu 5.17 oznámil Linus Torvalds vydání Linuxu 5.18 (LKML). Přehled nových vlastností a vylepšení na stránce Linux Kernel Newbies.

Ladislav Hagara | Komentářů: 0
včera 14:44 | Komunita

V Ubuntu 22.10 s kódovým jménem Kinetic Kudu bude zvukový server PulseAudio nahrazen multimediálním serverem PipeWire.

Ladislav Hagara | Komentářů: 7
21.5. 22:44 | Zajímavý článek

Tavis Ormandy popisuje, jak zprovoznil 32 let starý unixový port tabulkového procesoru Lotus 1-2-3 na moderním Linuxu. Doprovodné zdrojové kódy jsou na GitHubu.

Fluttershy, yay! | Komentářů: 9
21.5. 17:00 | Nová verze

Po pěti měsících vývoje od vydání verze 250 byla vydána nová verze 251 správce systému a služeb systemd (GitHub, NEWS).

Ladislav Hagara | Komentářů: 2
21.5. 15:44 | IT novinky

HP ve spolupráci se System76 představil 14" notebook HP Dev One s procesorem AMD Ryzen 7 PRO a předinstalovaným Pop!_OS Linuxem.

Ladislav Hagara | Komentářů: 18
21.5. 15:00 | Nová verze

Byla vydána verze 1.61.0 programovacího jazyka Rust (Wikipedie). Podrobnosti v poznámkách k vydání. Vyzkoušet Rust lze například na stránce Rust by Example.

Ladislav Hagara | Komentářů: 0
19.5. 00:33 | Zajímavý článek

Správce nástroje curl Daniel Stenberg na GitHubu průběžně vytváří svou novou knihu Uncurled, v níž shrnuje své dlouhodobé zkušenosti s údržbou open-source projektu: od odpozorovaných pouček po vtipné a ne až tak vtipné příklady e-mailů od uživatelů.

Fluttershy, yay! | Komentářů: 32
19.5. 00:22 | Nová verze

Byla vydána nová major verze 25.0 programovacího jazyka Erlang (Wikipedie) a související platformy OTP (Open Telecom Platform, Wikipedie). Přehled novinek v příspěvku na blogu.

Ladislav Hagara | Komentářů: 4
19.5. 00:11 | Nová verze

Deno (Wikipedie), běhové prostředí (runtime) pro JavaScript a TypeScript, bylo vydáno ve verzi 1.22. Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0
18.5. 18:22 | Nová verze

Společnost Red Hat oznámila vydání Red Hat Enterprise Linuxu (RHEL) 9.0. Vedle nových vlastností a oprav chyb přináší také aktualizaci ovladačů a předběžné ukázky budoucích technologií. Podrobnosti v poznámkách k vydání.

Ladislav Hagara | Komentářů: 8
Na sociálních sítích nebo jiných webových diskuzích vystupuji pod
 (62%)
 (15%)
 (23%)
Celkem 321 hlasů
 Komentářů: 27, poslední včera 17:10
Rozcestník


Dotaz: Dovecot - problém s SSL certifikátem (Rocky Linux)

MMMMMMMMM avatar 15.11.2021 18:11 MMMMMMMMM | skóre: 44 | blog: unstable | Valašsko :-)
Dovecot - problém s SSL certifikátem (Rocky Linux)
Přečteno: 315×
Ahojte, neřešil někdo z vás podobný problém jako já? ;-) Provedl jsem migraci CentOS 8 Stream na Rocky Linux pomocí migračního skriptu migrate2rocky.sh. Na dvou serverech. Jeden brzo po migraci začal mít problém s Dovecotem, druhý až po pár týdnech po migraci (přesněji dnes!). Chyba:
Nov 15 16:48:44 server dovecot[1660]: imap-login: Error: Failed to initialize SSL server context:
Can't load SSL certificate: error:14187180:SSL routines:ssl_do_config:bad value: section=system_default,
cmd=MinProtocol, arg=DTLSv1.2: user=<>, rip=xxx, lip=xxx, session=<...>
Nedokázal jsem najít řešení problému, proto jsem u prvního serveru (nic důležitého, jen na hokusy-pokusy) provedl čistou instalaci Rocky Linuxu. Drží se, je OK. Druhý server, kde mám soukromou poštu, se mi pokazil dnes. Žádná aktualizace systému, žádné úpravy v konfiguraci, prostě po rebootu stroje Dovecot odmítá IMAPS spojení. Ostatní služby jako Postfix, nginx nebo Proftpd s certifikátem problém nemají a fungují na jedničku (TLS1.2 + TLS1.3)

Je mi jasné, že se nakonec pustím do čisté instalace Rocky Linuxu, ale třeba se to někomu taky rozbilo a třeba by poradil? Pokud ne, nic se neděje, dočasně jsem to vyřešil zapnutím IMAP protokolu, který je dostupný jen přes OpenVPN, takže ve výsledku šifrovaně...

Řešení dotazu:


Odpovědi

15.11.2021 19:02 X
Rozbalit Rozbalit vše Re: Dovecot - problém s SSL certifikátem (Rocky Linux)
Nekoliduje ti ssl_min_protocol v Dovecot a MinProtocol(DTLSv1.2) v openssl.conf?
MMMMMMMMM avatar 15.11.2021 19:49 MMMMMMMMM | skóre: 44 | blog: unstable | Valašsko :-)
Rozbalit Rozbalit vše Re: Dovecot - problém s SSL certifikátem (Rocky Linux)
ssl_min_protocol = TLSv1.2

Divné je, že ráno jsem ještě vybíral poštu, pak v práci vypnul virtuál, zmigroval jej na jiný disk (jede to na ESXi), zapnul a následně to už nefunguje.

Stát se to v produkčním prostředí, nevím nevím. Ne vážně - kdyby se to stalo, tak by pomohlo nasadit nginx jako reverzní proxy pro IMAP a IMAPS, už s tím mám zkušenost. Ale tady jde o to zjistit, co se to děje a proč se to děje. Začínám přemýšlet, zda místo Rockyho nedát raději Almu...
15.11.2021 21:41 X
Rozbalit Rozbalit vše Re: Dovecot - problém s SSL certifikátem (Rocky Linux)
Jenze podle toho erroru mas v systemove OpenSSL konfiguraci DTLS1.2 a kontexty takto nelze mixovat:
Can't load SSL certificate: error:14187180:SSL routines:ssl_do_config:bad value: section=system_default,
cmd=MinProtocol, arg=DTLSv1.2
MMMMMMMMM avatar 16.11.2021 07:53 MMMMMMMMM | skóre: 44 | blog: unstable | Valašsko :-)
Rozbalit Rozbalit vše Re: Dovecot - problém s SSL certifikátem (Rocky Linux)
Díky za nakopnutí. Mrknul jsem na čistou instalaci Rocky linuxu a našel tam v souboru /etc/crypto-policies/back-ends/opensslcnf.config:
CipherString = @SECLEVEL=2:kEECDH:kRSA:kEDH:kPSK:kDHEPSK:kECDHEPSK:-aDSS:-3DES:!DES:!RC4:!RC2:!IDEA:-SEED:!eNULL:!aNULL:!MD5:-SHA384:-CAMELLIA:-ARIA:-AESCCM8
Ciphersuites = TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256:TLS_AES_128_CCM_SHA256
MinProtocol = TLSv1.2
MaxProtocol = TLSv1.3
SignatureAlgorithms = ECDSA+SHA256:ECDSA+SHA384:ECDSA+SHA512:ed25519:ed448:rsa_pss_pss_sha256:rsa_pss_rsae_sha256:rsa_pss_pss_sha384:rsa_pss_rsae_sha384:rsa_pss_pss_sha512:rsa_pss_rsae_sha512:RSA+SHA256:RSA+SHA384:RSA+SHA512:ECDSA+SHA224:RSA+SHA224:ECDSA+SHA1:RSA+SHA1
Přitom na serveru, kde došlo k migraci na Rocky linux z Centos 8 Stream, je tohle:
CipherString = @SECLEVEL=2:kEECDH:kRSA:kEDH:kPSK:kDHEPSK:kECDHEPSK:-aDSS:-3DES:!DES:!RC4:!RC2:!IDEA:-SEED:!eNULL:!aNULL:!MD5:-SHA384:-CAMELLIA:-ARIA:-AESCCM8
Ciphersuites = TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256:TLS_AES_128_CCM_SHA256
TLS.MinProtocol = TLSv1.2
TLS.MaxProtocol = TLSv1.3
DTLS.MinProtocol = DTLSv1.2
DTLS.MaxProtocol = DTLSv1.2
SignatureAlgorithms = ECDSA+SHA256:ECDSA+SHA384:ECDSA+SHA512:ed25519:ed448:rsa_pss_pss_sha256:rsa_pss_rsae_sha256:rsa_pss_pss_sha384:rsa_pss_rsae_sha384:rsa_pss_pss_sha512:rsa_pss_rsae_sha512:RSA+SHA256:RSA+SHA384:RSA+SHA512:ECDSA+SHA224:RSA+SHA224:ECDSA+SHA1:RSA+SHA1
Provedl jsem úpravu dle nastavení čistého Rocky linuxu a po rebootu Dovecot funguje i s SSL. Při chvilce se na to mrknu podrobněji, jak vlastně tyhle crypto-policies fungují. Díky. :-)
Řešení 1× (MMMMMMMMM (tazatel))
MMMMMMMMM avatar 16.11.2021 17:41 MMMMMMMMM | skóre: 44 | blog: unstable | Valašsko :-)
Rozbalit Rozbalit vše Re: Dovecot - problém s SSL certifikátem (Rocky Linux)
Je to vážně divné. Zrovna jsem provedl na prvním serveru (čistá instalace RL) update na verzi 8.5 a po restartu obsahuje tento server navíc parametry ve zmíněném souboru:
DTLS.MinProtocol = DTLSv1.2
DTLS.MaxProtocol = DTLSv1.2
A Dovecot na něm běží i se SSL. Tak jsem provedl update i na druhém serveru. Ručně jsem přeinstaloval crypto-policies, takže obsahovaly i info výše a po rebootu celého serveru Dovecot taky startuje. Jsou v tom kouzla. :/ Ještě jeden problém a reinstaluju to.
16.11.2021 18:17 X
Rozbalit Rozbalit vše Re: Dovecot - problém s SSL certifikátem (Rocky Linux)
Nebude to tim, ze na kazdem serveru je trochu jiny certifikat(ssl_cert), ktery se to snazi nacist?
MMMMMMMMM avatar 16.11.2021 18:33 MMMMMMMMM | skóre: 44 | blog: unstable | Valašsko :-)
Rozbalit Rozbalit vše Re: Dovecot - problém s SSL certifikátem (Rocky Linux)
Teoreticky by to nemělo být tím - všude máme stejný wildcard certifikát (a stejnou konfiguraci Dovecotu).

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.