Přihlášení | Registrace

napište » Zprávičky

Google I/O 2025

dnes 18:11 | IT novinky

Dnes a zítra probíhá vývojářská konference Google I/O 2025. Sledovat lze na YouTube a na síti 𝕏 (#GoogleIO).

Red Hat Summit 2025

dnes 15:22 | Komunita

V Bostonu probíhá konference Red Hat Summit 2025. Vybrané přednášky lze sledovat na YouTube. Dění lze sledovat na síti 𝕏 (#RHSummit).

Ladislav Hagara | Komentářů: 0

Red Hat Enterprise Linux 10

dnes 15:00 | Nová verze

Společnost Red Hat oficiálně oznámila vydání Red Hat Enterprise Linuxu 10. Vedle nových vlastností přináší také aktualizaci ovladačů a předběžné ukázky budoucích technologií. Podrobnosti v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0

Home Assistant Community Day

dnes 12:22 | Pozvánky

Tuto sobotu 24. května se koná historicky první komunitní den projektu Home Assistant. Zváni jsou všichni příznivci, nadšenci a uživatelé tohoto projektu. Pro účast je potřebná registrace. Odkazy na akce v Praze a v Bratislavě.

jose17 | Komentářů: 0

Have I Been Pwned 2.0

dnes 04:44 | IT novinky

Troy Hunt představil Have I Been Pwned 2.0, tj. nový vylepšený web služby, kde si uživatelé mohou zkontrolovat, zda se jejich hesla a osobní údaje neobjevili v únicích dat a případně se nechat na další úniky upozorňovat.

Ladislav Hagara | Komentářů: 13

Microsoft představil textový editor Edit bežící v terminálu

včera 23:22 | Zajímavý software

Microsoft představil open source textový editor Edit bežící v terminálu. Zdrojové kódy jsou k dispozici na GitHubu pod licencí MIT.

Ladislav Hagara | Komentářů: 7

Windows Subsystem for Linux je nově open source

včera 22:22 | Zajímavý software

V Seattlu a také online probíhá konference Microsoft Build 2025. Microsoft představuje své novinky. Windows Subsystem for Linux je nově open source. Zdrojové kódy jsou k dispozici na GitHubu pod licencí MIT.

Ladislav Hagara | Komentářů: 0

Turris Sentinel – co přinesl rok 2024

včera 13:11 | Zajímavý článek

Z příspěvku Turris Sentinel – co přinesl rok 2024 na blogu CZ.NIC: "Za poslední rok (únor 2024 – únor 2025) jsme zachytili 8,3 miliardy incidentů a to z 232 zemí a z jejich závislých území. Tyto útoky přišly od 6,2 milionu útočníků (respektive unikátních adres). SMTP minipot je stále nejlákavější pastí, zhruba 79 % útoků bylo směřováno na tento minipot, 16 % útoků směřovalo na minipot Telnet, 3 % útoků směřovaly na minipot HTTP a 2 % na minipot FTP. Dále jsme zaznamenali 3,2 milionu unikátních hesel a 318 tisíc unikátních loginů, které útočníci zkoušeli."

Ladislav Hagara | Komentářů: 1

GIMP 3.0.4

včera 12:44 | Nová verze

Byla vydána (Mastodon, 𝕏) nová verze 3.0.4 svobodné aplikace pro úpravu a vytváření rastrové grafiky GIMP (GNU Image Manipulation Program). Přehled novinek v oznámení o vydání a v souboru NEWS na GitLabu. Nový GIMP je již k dispozici také na Flathubu.

Ladislav Hagara | Komentářů: 0

Vivaldi 7.4

včera 12:33 | Nová verze

Byla vydána nová stabilní verze 7.4 webového prohlížeče Vivaldi (Wikipedie). Postavena je na Chromiu 136. Přehled novinek i s náhledy v příspěvku na blogu.

Ladislav Hagara | Komentářů: 0

Centrum | Napsat | Starší

navrhněte » Anketa

Jaký je váš oblíbený skriptovací jazyk?

bash (60%)

python (24%)

perl (10%)

powershell (0%)

batch (0%)

vbscript (0%)

jiný, uvedu v diskusi (7%)

Celkem 42 hlasů

Komentářů: 4, poslední včera 22:41

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / Dovecot - problém s SSL certifikátem (Rocky Linux)

Štítky: aktualizace, CentOS, distribuce, dovecot, FTP, IMAP, instalace, Internet, Linux, MTA, nginx, OpenVPN, Postfix, problém, ProFTPd, Rocky, řešení, server, spojení, SSL, stream

Dotaz: Dovecot - problém s SSL certifikátem (Rocky Linux)

15.11.2021 18:11 MMMMMMMMM | skóre: 44 | blog: unstable | Valašsko :-)
Dovecot - problém s SSL certifikátem (Rocky Linux)

Přečteno: 469×

Odpovědět | Admin

Ahojte, neřešil někdo z vás podobný problém jako já? ;-)

Provedl jsem migraci CentOS 8 Stream na Rocky Linux pomocí migračního skriptu migrate2rocky.sh. Na dvou serverech. Jeden brzo po migraci začal mít problém s Dovecotem, druhý až po pár týdnech po migraci (přesněji dnes!). Chyba:

Nov 15 16:48:44 server dovecot[1660]: imap-login: Error: Failed to initialize SSL server context:
Can't load SSL certificate: error:14187180:SSL routines:ssl_do_config:bad value: section=system_default,
cmd=MinProtocol, arg=DTLSv1.2: user=<>, rip=xxx, lip=xxx, session=<...>

Nedokázal jsem najít řešení problému, proto jsem u prvního serveru (nic důležitého, jen na hokusy-pokusy) provedl čistou instalaci Rocky Linuxu. Drží se, je OK. Druhý server, kde mám soukromou poštu, se mi pokazil dnes. Žádná aktualizace systému, žádné úpravy v konfiguraci, prostě po rebootu stroje Dovecot odmítá IMAPS spojení. Ostatní služby jako Postfix, nginx nebo Proftpd s certifikátem problém nemají a fungují na jedničku (TLS1.2 + TLS1.3)

Je mi jasné, že se nakonec pustím do čisté instalace Rocky Linuxu, ale třeba se to někomu taky rozbilo a třeba by poradil? Pokud ne, nic se neděje, dočasně jsem to vyřešil zapnutím IMAP protokolu, který je dostupný jen přes OpenVPN, takže ve výsledku šifrovaně...

Linux Dokumentační Projekt - PDF ke stažení

Řešení dotazu:

Komentář #5 (MMMMMMMMM, 1 hlasů)

Nástroje: Začni sledovat (0) ?

Odpovědi

15.11.2021 19:02 X
Rozbalit Rozbalit vše Re: Dovecot - problém s SSL certifikátem (Rocky Linux)

Nekoliduje ti ssl_min_protocol v Dovecot a MinProtocol(DTLSv1.2) v openssl.conf?

15.11.2021 19:49 MMMMMMMMM | skóre: 44 | blog: unstable | Valašsko :-)
Rozbalit Rozbalit vše Re: Dovecot - problém s SSL certifikátem (Rocky Linux)

ssl_min_protocol = TLSv1.2

Divné je, že ráno jsem ještě vybíral poštu, pak v práci vypnul virtuál, zmigroval jej na jiný disk (jede to na ESXi), zapnul a následně to už nefunguje.

Stát se to v produkčním prostředí, nevím nevím. Ne vážně - kdyby se to stalo, tak by pomohlo nasadit nginx jako reverzní proxy pro IMAP a IMAPS, už s tím mám zkušenost. Ale tady jde o to zjistit, co se to děje a proč se to děje. Začínám přemýšlet, zda místo Rockyho nedát raději Almu...

Linux Dokumentační Projekt - PDF ke stažení

15.11.2021 21:41 X
Rozbalit Rozbalit vše Re: Dovecot - problém s SSL certifikátem (Rocky Linux)

Jenze podle toho erroru mas v systemove OpenSSL konfiguraci DTLS1.2 a kontexty takto nelze mixovat:

Can't load SSL certificate: error:14187180:SSL routines:ssl_do_config:bad value: section=system_default,
cmd=MinProtocol, arg=DTLSv1.2

16.11.2021 07:53 MMMMMMMMM | skóre: 44 | blog: unstable | Valašsko :-)
Rozbalit Rozbalit vše Re: Dovecot - problém s SSL certifikátem (Rocky Linux)

Díky za nakopnutí. Mrknul jsem na čistou instalaci Rocky linuxu a našel tam v souboru /etc/crypto-policies/back-ends/opensslcnf.config:

CipherString = @SECLEVEL=2:kEECDH:kRSA:kEDH:kPSK:kDHEPSK:kECDHEPSK:-aDSS:-3DES:!DES:!RC4:!RC2:!IDEA:-SEED:!eNULL:!aNULL:!MD5:-SHA384:-CAMELLIA:-ARIA:-AESCCM8
Ciphersuites = TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256:TLS_AES_128_CCM_SHA256
MinProtocol = TLSv1.2
MaxProtocol = TLSv1.3
SignatureAlgorithms = ECDSA+SHA256:ECDSA+SHA384:ECDSA+SHA512:ed25519:ed448:rsa_pss_pss_sha256:rsa_pss_rsae_sha256:rsa_pss_pss_sha384:rsa_pss_rsae_sha384:rsa_pss_pss_sha512:rsa_pss_rsae_sha512:RSA+SHA256:RSA+SHA384:RSA+SHA512:ECDSA+SHA224:RSA+SHA224:ECDSA+SHA1:RSA+SHA1

Přitom na serveru, kde došlo k migraci na Rocky linux z Centos 8 Stream, je tohle:

CipherString = @SECLEVEL=2:kEECDH:kRSA:kEDH:kPSK:kDHEPSK:kECDHEPSK:-aDSS:-3DES:!DES:!RC4:!RC2:!IDEA:-SEED:!eNULL:!aNULL:!MD5:-SHA384:-CAMELLIA:-ARIA:-AESCCM8
Ciphersuites = TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256:TLS_AES_128_CCM_SHA256
TLS.MinProtocol = TLSv1.2
TLS.MaxProtocol = TLSv1.3
DTLS.MinProtocol = DTLSv1.2
DTLS.MaxProtocol = DTLSv1.2
SignatureAlgorithms = ECDSA+SHA256:ECDSA+SHA384:ECDSA+SHA512:ed25519:ed448:rsa_pss_pss_sha256:rsa_pss_rsae_sha256:rsa_pss_pss_sha384:rsa_pss_rsae_sha384:rsa_pss_pss_sha512:rsa_pss_rsae_sha512:RSA+SHA256:RSA+SHA384:RSA+SHA512:ECDSA+SHA224:RSA+SHA224:ECDSA+SHA1:RSA+SHA1

Provedl jsem úpravu dle nastavení čistého Rocky linuxu a po rebootu Dovecot funguje i s SSL. Při chvilce se na to mrknu podrobněji, jak vlastně tyhle crypto-policies fungují. Díky. :-)

Linux Dokumentační Projekt - PDF ke stažení

Řešení 1× (MMMMMMMMM (tazatel))

16.11.2021 17:41 MMMMMMMMM | skóre: 44 | blog: unstable | Valašsko :-)
Rozbalit Rozbalit vše Re: Dovecot - problém s SSL certifikátem (Rocky Linux)

Je to vážně divné. Zrovna jsem provedl na prvním serveru (čistá instalace RL) update na verzi 8.5 a po restartu obsahuje tento server navíc parametry ve zmíněném souboru:

DTLS.MinProtocol = DTLSv1.2
DTLS.MaxProtocol = DTLSv1.2

A Dovecot na něm běží i se SSL. Tak jsem provedl update i na druhém serveru. Ručně jsem přeinstaloval crypto-policies, takže obsahovaly i info výše a po rebootu celého serveru Dovecot taky startuje. Jsou v tom kouzla. :/ Ještě jeden problém a reinstaluju to.

Linux Dokumentační Projekt - PDF ke stažení

16.11.2021 18:17 X
Rozbalit Rozbalit vše Re: Dovecot - problém s SSL certifikátem (Rocky Linux)

Nebude to tim, ze na kazdem serveru je trochu jiny certifikat(ssl_cert), ktery se to snazi nacist?

16.11.2021 18:33 MMMMMMMMM | skóre: 44 | blog: unstable | Valašsko :-)
Rozbalit Rozbalit vše Re: Dovecot - problém s SSL certifikátem (Rocky Linux)

Teoreticky by to nemělo být tím - všude máme stejný wildcard certifikát (a stejnou konfiguraci Dovecotu).

Linux Dokumentační Projekt - PDF ke stažení

Založit nové vlákno • Nahoru

Tiskni Sdílej:

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje