abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 01:44 | Pozvánky

    Přemýšlíte, jak začít prázdniny? Už v úterý 1. července se bude konat Virtuální Bastlírna, tedy online setkání bastlířů, techniků, vědců i akademiků, kde se ve volné diskuzi probírají novinky ze světa techniky, ale i jiných zajímavých témat.

    Za poslední měsíc jsme byli svědky plamenů několika raket. Zatímco malá raketa od Hondy se úspěšně vznesla a opět přistála, raketa od SpaceX se rozhodla letět všemi směry najednou. Díkybohu méně … více »
    Uprdkávač | Komentářů: 0
    včera 23:44 | Komunita

    Linus Torvalds zmínil, že souborový systém Bcachefs zřejmě odstraní z mainline Linuxu v začleňovacím okně pro vydání 6.17. Kent Overstreet mu totiž posílá kód s novou funkcionalitou i pro začlenění do kandidátů na vydání, kdy očekává pouze opravy chyb. Ken Overstreet byl již dříve z vývoje vyloučen kvůli konfliktní komunikaci.

    Fluttershy, yay! | Komentářů: 7
    27.6. 11:55 | IT novinky

    Ministerstvo průmyslu a obchodu propaguje Microsoft. Ten ve spolupráci s Ministerstvem průmyslu a obchodu spouští AI National Skilling Plan v ČR. "Iniciativa Microsoftu přináší konkrétní a praktickou podporu právě tam, kde ji nejvíc potřebujeme – do škol, firem i veřejné správy.", říká ministr průmyslu a obchodu Lukáš Vlček.

    Ladislav Hagara | Komentářů: 27
    27.6. 10:55 | Zajímavý projekt

    Jste český ISP? Vyplněním krátkého dotazníku můžete pomoci nasměrovat vývoj nové generace routerů Turris Omnia [𝕏].

    Ladislav Hagara | Komentářů: 4
    27.6. 01:33 | IT novinky

    Celkové tržby společnosti Canonical za rok 2024 byly 292 milionů dolarů (pdf). Za rok 2023 to bylo 251 milionů dolarů.

    Ladislav Hagara | Komentářů: 1
    27.6. 01:22 | Nová verze

    Byla vydána verze 1.88.0 programovacího jazyka Rust (Wikipedie). Podrobnosti v poznámkách k vydání. Vyzkoušet Rust lze například na stránce Rust by Example.

    Ladislav Hagara | Komentářů: 0
    27.6. 01:11 | Nová verze

    Distribuce Tails specializující se ochranu online soukromí uživatele byla vydána ve verzi 6.17. Mimo jiné aktualizuje Tor Browser (14.5.4) a opravuje několik chyb.

    Fluttershy, yay! | Komentářů: 0
    26.6. 21:11 | Nová verze Ladislav Hagara | Komentářů: 0
    26.6. 13:11 | IT novinky

    Město Lyon posiluje svou digitální suverenitu a postupně nahrazuje software od společnosti Microsoft bezplatnými alternativami, zejména OnlyOffice pro kancelářské aplikace a Linux a PostgreSQL pro systémy a databáze.

    Ladislav Hagara | Komentářů: 9
    26.6. 11:44 | Zajímavý projekt

    Evropská občanská iniciativa Stop Destroying Videogames se snaží o to, aby vydavatelé, kteří spotřebitelům v Evropské unii prodávají videohry nebo na ně udělují licence, měli povinnost tyto hry ponechat ve funkčním (hratelném) stavu i po ukončení podpory ze své strany. Podpořit podpisem tuto iniciativu můžete v Systému pro online sběr podpisů.

    trekker.dk | Komentářů: 5
    Jaký je váš oblíbený skriptovací jazyk?
     (59%)
     (28%)
     (7%)
     (2%)
     (0%)
     (1%)
     (3%)
    Celkem 331 hlasů
     Komentářů: 16, poslední 8.6. 21:05
    Rozcestník

    Dotaz: Dovecot - problém s SSL certifikátem (Rocky Linux)

    MMMMMMMMM avatar 15.11.2021 18:11 MMMMMMMMM | skóre: 44 | blog: unstable | Valašsko :-)
    Dovecot - problém s SSL certifikátem (Rocky Linux)
    Přečteno: 533×
    Ahojte, neřešil někdo z vás podobný problém jako já? ;-) Provedl jsem migraci CentOS 8 Stream na Rocky Linux pomocí migračního skriptu migrate2rocky.sh. Na dvou serverech. Jeden brzo po migraci začal mít problém s Dovecotem, druhý až po pár týdnech po migraci (přesněji dnes!). Chyba:
    Nov 15 16:48:44 server dovecot[1660]: imap-login: Error: Failed to initialize SSL server context:
    Can't load SSL certificate: error:14187180:SSL routines:ssl_do_config:bad value: section=system_default,
    cmd=MinProtocol, arg=DTLSv1.2: user=<>, rip=xxx, lip=xxx, session=<...>
    Nedokázal jsem najít řešení problému, proto jsem u prvního serveru (nic důležitého, jen na hokusy-pokusy) provedl čistou instalaci Rocky Linuxu. Drží se, je OK. Druhý server, kde mám soukromou poštu, se mi pokazil dnes. Žádná aktualizace systému, žádné úpravy v konfiguraci, prostě po rebootu stroje Dovecot odmítá IMAPS spojení. Ostatní služby jako Postfix, nginx nebo Proftpd s certifikátem problém nemají a fungují na jedničku (TLS1.2 + TLS1.3)

    Je mi jasné, že se nakonec pustím do čisté instalace Rocky Linuxu, ale třeba se to někomu taky rozbilo a třeba by poradil? Pokud ne, nic se neděje, dočasně jsem to vyřešil zapnutím IMAP protokolu, který je dostupný jen přes OpenVPN, takže ve výsledku šifrovaně...

    Řešení dotazu:


    Odpovědi

    15.11.2021 19:02 X
    Rozbalit Rozbalit vše Re: Dovecot - problém s SSL certifikátem (Rocky Linux)
    Nekoliduje ti ssl_min_protocol v Dovecot a MinProtocol(DTLSv1.2) v openssl.conf?
    MMMMMMMMM avatar 15.11.2021 19:49 MMMMMMMMM | skóre: 44 | blog: unstable | Valašsko :-)
    Rozbalit Rozbalit vše Re: Dovecot - problém s SSL certifikátem (Rocky Linux)
    ssl_min_protocol = TLSv1.2

    Divné je, že ráno jsem ještě vybíral poštu, pak v práci vypnul virtuál, zmigroval jej na jiný disk (jede to na ESXi), zapnul a následně to už nefunguje.

    Stát se to v produkčním prostředí, nevím nevím. Ne vážně - kdyby se to stalo, tak by pomohlo nasadit nginx jako reverzní proxy pro IMAP a IMAPS, už s tím mám zkušenost. Ale tady jde o to zjistit, co se to děje a proč se to děje. Začínám přemýšlet, zda místo Rockyho nedát raději Almu...
    15.11.2021 21:41 X
    Rozbalit Rozbalit vše Re: Dovecot - problém s SSL certifikátem (Rocky Linux)
    Jenze podle toho erroru mas v systemove OpenSSL konfiguraci DTLS1.2 a kontexty takto nelze mixovat:
    Can't load SSL certificate: error:14187180:SSL routines:ssl_do_config:bad value: section=system_default,
    cmd=MinProtocol, arg=DTLSv1.2
    MMMMMMMMM avatar 16.11.2021 07:53 MMMMMMMMM | skóre: 44 | blog: unstable | Valašsko :-)
    Rozbalit Rozbalit vše Re: Dovecot - problém s SSL certifikátem (Rocky Linux)
    Díky za nakopnutí. Mrknul jsem na čistou instalaci Rocky linuxu a našel tam v souboru /etc/crypto-policies/back-ends/opensslcnf.config:
    CipherString = @SECLEVEL=2:kEECDH:kRSA:kEDH:kPSK:kDHEPSK:kECDHEPSK:-aDSS:-3DES:!DES:!RC4:!RC2:!IDEA:-SEED:!eNULL:!aNULL:!MD5:-SHA384:-CAMELLIA:-ARIA:-AESCCM8
    Ciphersuites = TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256:TLS_AES_128_CCM_SHA256
    MinProtocol = TLSv1.2
    MaxProtocol = TLSv1.3
    SignatureAlgorithms = ECDSA+SHA256:ECDSA+SHA384:ECDSA+SHA512:ed25519:ed448:rsa_pss_pss_sha256:rsa_pss_rsae_sha256:rsa_pss_pss_sha384:rsa_pss_rsae_sha384:rsa_pss_pss_sha512:rsa_pss_rsae_sha512:RSA+SHA256:RSA+SHA384:RSA+SHA512:ECDSA+SHA224:RSA+SHA224:ECDSA+SHA1:RSA+SHA1
    Přitom na serveru, kde došlo k migraci na Rocky linux z Centos 8 Stream, je tohle:
    CipherString = @SECLEVEL=2:kEECDH:kRSA:kEDH:kPSK:kDHEPSK:kECDHEPSK:-aDSS:-3DES:!DES:!RC4:!RC2:!IDEA:-SEED:!eNULL:!aNULL:!MD5:-SHA384:-CAMELLIA:-ARIA:-AESCCM8
    Ciphersuites = TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256:TLS_AES_128_CCM_SHA256
    TLS.MinProtocol = TLSv1.2
    TLS.MaxProtocol = TLSv1.3
    DTLS.MinProtocol = DTLSv1.2
    DTLS.MaxProtocol = DTLSv1.2
    SignatureAlgorithms = ECDSA+SHA256:ECDSA+SHA384:ECDSA+SHA512:ed25519:ed448:rsa_pss_pss_sha256:rsa_pss_rsae_sha256:rsa_pss_pss_sha384:rsa_pss_rsae_sha384:rsa_pss_pss_sha512:rsa_pss_rsae_sha512:RSA+SHA256:RSA+SHA384:RSA+SHA512:ECDSA+SHA224:RSA+SHA224:ECDSA+SHA1:RSA+SHA1
    Provedl jsem úpravu dle nastavení čistého Rocky linuxu a po rebootu Dovecot funguje i s SSL. Při chvilce se na to mrknu podrobněji, jak vlastně tyhle crypto-policies fungují. Díky. :-)
    Řešení 1× (MMMMMMMMM (tazatel))
    MMMMMMMMM avatar 16.11.2021 17:41 MMMMMMMMM | skóre: 44 | blog: unstable | Valašsko :-)
    Rozbalit Rozbalit vše Re: Dovecot - problém s SSL certifikátem (Rocky Linux)
    Je to vážně divné. Zrovna jsem provedl na prvním serveru (čistá instalace RL) update na verzi 8.5 a po restartu obsahuje tento server navíc parametry ve zmíněném souboru:
    DTLS.MinProtocol = DTLSv1.2
    DTLS.MaxProtocol = DTLSv1.2
    A Dovecot na něm běží i se SSL. Tak jsem provedl update i na druhém serveru. Ručně jsem přeinstaloval crypto-policies, takže obsahovaly i info výše a po rebootu celého serveru Dovecot taky startuje. Jsou v tom kouzla. :/ Ještě jeden problém a reinstaluju to.
    16.11.2021 18:17 X
    Rozbalit Rozbalit vše Re: Dovecot - problém s SSL certifikátem (Rocky Linux)
    Nebude to tim, ze na kazdem serveru je trochu jiny certifikat(ssl_cert), ktery se to snazi nacist?
    MMMMMMMMM avatar 16.11.2021 18:33 MMMMMMMMM | skóre: 44 | blog: unstable | Valašsko :-)
    Rozbalit Rozbalit vše Re: Dovecot - problém s SSL certifikátem (Rocky Linux)
    Teoreticky by to nemělo být tím - všude máme stejný wildcard certifikát (a stejnou konfiguraci Dovecotu).

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.