dovecot + ssl
Модератор: xM
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
- проходил мимо
dovecot + ssl
Господа, нашли тут такую весчь... я прям даже и не знаю...
короче:
стоит dovecot с поддержкой ssl на нестандартном порту...
все хорошо , все работает...
и тут узнается такая вещь:
если на нестандартный порт, на который настроен ssl, стукнуться на получение почты клиентом The bat с указанием работы по ssl, но без сертификата, то сертификат dovecot сам предлагает клиенту... т.е. выводиться предложение сделать данный сертификат доверенным и далее работа происходит по этому сертификату...о_0
т.е. просто сертификат раздается... всем кто конектиться... (да я понимаю, что данный сертификат нельзя экспортироать... но все же... как-то мне это не нравиться...)
кто-нидь в курсе, как сделать что бы сертификат запрашивался при подключении к этому порту, а к стандартному (110) не запрашивался , работа была бы без него..., а самостоятельно что бы dovecot сертификат не раздовал вообще никому и никогда...
(вообще я предполагал, что он именно так и работает... ан походу нет... )
короче:
стоит dovecot с поддержкой ssl на нестандартном порту...
все хорошо , все работает...
и тут узнается такая вещь:
если на нестандартный порт, на который настроен ssl, стукнуться на получение почты клиентом The bat с указанием работы по ssl, но без сертификата, то сертификат dovecot сам предлагает клиенту... т.е. выводиться предложение сделать данный сертификат доверенным и далее работа происходит по этому сертификату...о_0
т.е. просто сертификат раздается... всем кто конектиться... (да я понимаю, что данный сертификат нельзя экспортироать... но все же... как-то мне это не нравиться...)
кто-нидь в курсе, как сделать что бы сертификат запрашивался при подключении к этому порту, а к стандартному (110) не запрашивался , работа была бы без него..., а самостоятельно что бы dovecot сертификат не раздовал вообще никому и никогда...
(вообще я предполагал, что он именно так и работает... ан походу нет... )
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
- hizel
- дядя поня
- Сообщения: 9032
- Зарегистрирован: 2007-06-29 10:05:02
- Откуда: Выборг
Re: dovecot + ssl
это не есть проблема, есть же еще ключ
ни один больше почтовик без этого ключа таким сертификатом не подпишется
ни один больше почтовик без этого ключа таким сертификатом не подпишется
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.
-
- проходил мимо
Re: dovecot + ssl
чуть по подробнее...hizel писал(а):это не есть проблема, есть же еще ключ
ни один больше почтовик без этого ключа таким сертификатом не подпишется
в смысле ключ...
зачем это нужно и как от этого избавиться...
или где об этом почитать...
- hizel
- дядя поня
- Сообщения: 9032
- Зарегистрирован: 2007-06-29 10:05:02
- Откуда: Выборг
Re: dovecot + ssl
читаем про PKI
немного напряжения и приходит понимание
http://en.wikipedia.org/wiki/Public_key_infrastructure
немного напряжения и приходит понимание
http://en.wikipedia.org/wiki/Public_key_infrastructure
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.
-
- проходил мимо
Re: dovecot + ssl
PKI arrangements enable computer users without prior contact to be authenticated to each other, and to use the public key information in their public key certificates to encrypt messages to each other.
если я правильно понял, то это как раз и говорит, что можно шифровать трафик сертификатами , без предшествующего контакта... т.е. походу то, о чем я спрашиваю...
хорошо... это реально разрешено... и пожалуй неплохая возможность...
но я пока совершенно не могу понять как это контролировать...
т.е. как разрешить такое поведение и как запретить...
ибо пожалуй для dovecot-а я бы предпочел запретить это...
если я правильно понял, то это как раз и говорит, что можно шифровать трафик сертификатами , без предшествующего контакта... т.е. походу то, о чем я спрашиваю...
хорошо... это реально разрешено... и пожалуй неплохая возможность...
но я пока совершенно не могу понять как это контролировать...
т.е. как разрешить такое поведение и как запретить...
ибо пожалуй для dovecot-а я бы предпочел запретить это...
-
- проходил мимо
Re: dovecot + ssl
сейчас я использую сертификат X.509, он как раз принадлежит стандарту PKI...
можно предположить, что другого поведения от данного стандарта я не дождусь... (
вопрос, а dovecot с TLS работает только с сертификатами x.509 или можно использовать другой сертификат?!!!
или другой вариант шифрования трафика в нем...
можно предположить, что другого поведения от данного стандарта я не дождусь... (
вопрос, а dovecot с TLS работает только с сертификатами x.509 или можно использовать другой сертификат?!!!
или другой вариант шифрования трафика в нем...
-
- проходил мимо
Re: dovecot + ssl
и еще одно замечание, ведь всей этой канители с предоставлением сертификата при подключении к порту можно избежать ,установив опцию ssl_require_client_cert, но тут проблема, что надо всегда использовать ssl, а мне для локальной подсетки этого бы не хотелось...
может быть есть возможность указать что бы данная опция работала только на определенном порту... т.е на 110 не трабовать сертификата и работать, а на 1110 использовать ssl и принудительно требовать сертификат... и не выдавать его и не делать авторизацию, если сертификата нет у клиента... (
вроде просто, а почему-то пока работает не так...
может быть есть возможность указать что бы данная опция работала только на определенном порту... т.е на 110 не трабовать сертификата и работать, а на 1110 использовать ssl и принудительно требовать сертификат... и не выдавать его и не делать авторизацию, если сертификата нет у клиента... (
вроде просто, а почему-то пока работает не так...