exim4 и ssl от публичного CA

EXIM, sendmail, postfix, Dovecot и прочие. Решение проблем связанных с работой электронной почты

Модератор: xM

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
ssh2
рядовой
Сообщения: 20
Зарегистрирован: 2010-09-14 8:42:05

exim4 и ssl от публичного CA

Непрочитанное сообщение ssh2 » 2014-12-22 15:29:04

Коллеги приветствую.

Потребовалось заменить самописный сертификат на "настоящий". После рестарта exim с новыми ключами, mta перестаёт принимать почту от google, сообщая в лог:

Код: Выделить всё

2014-12-22 02:42:55 TLS error on connection from mail-la0-f52.google.com [209.85.215.52] (cert/key setup: cert=/etc/exim4/exim.crt key=/etc/exim4/exim.key): The provided X.509 certificate list is
 not sorted (in subject to issuer order)
Авторизация клиентов при установлении SMTP судя по всему тоже перестаёт работать.
Сертификат получен банальным объединением в один файл General CA, intermediate и domain. Файл с ключом само собой верный. Этот же комплект прекрасно работает в dovecot и получает на http://www.ssllabs.com А+.

Поиск на форму не помог.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
xM
ст. лейтенант
Сообщения: 1316
Зарегистрирован: 2009-01-15 23:57:41
Откуда: Königsberg
Контактная информация:

Re: exim4 и ssl от публичного CA

Непрочитанное сообщение xM » 2014-12-22 15:31:48

Проверьте порядок следования в объединённом файле
IT voodoo blog https://kostikov.co

ssh2
рядовой
Сообщения: 20
Зарегистрирован: 2010-09-14 8:42:05

Re: exim4 и ssl от публичного CA

Непрочитанное сообщение ssh2 » 2014-12-22 15:50:05

xM писал(а):Проверьте порядок следования в объединённом файле
Хм, с порядком всё в порядке как мне кажется. У других приложений нет проблем с использованием этого сертификата, кроме того

Код: Выделить всё

root@mail:/etc/exim4/ssl# openssl verify star_domain-full.crt
star_domain-full.crt: OK
Права и владельца я проверил в первую очередь.

Аватара пользователя
xM
ст. лейтенант
Сообщения: 1316
Зарегистрирован: 2009-01-15 23:57:41
Откуда: Königsberg
Контактная информация:

Re: exim4 и ssl от публичного CA

Непрочитанное сообщение xM » 2014-12-22 19:39:28

Лучше так

Код: Выделить всё

# openssl s_client -connect your.host:465
IT voodoo blog https://kostikov.co

Аватара пользователя
xM
ст. лейтенант
Сообщения: 1316
Зарегистрирован: 2009-01-15 23:57:41
Откуда: Königsberg
Контактная информация:

Re: exim4 и ssl от публичного CA

Непрочитанное сообщение xM » 2014-12-22 19:44:01

Правильный порядок должен быть примерно такой

Код: Выделить всё

Certificate chain
 0 s:/OU=Domain Control Validated/OU=PositiveSSL/CN=my.host
   i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=PositiveSSL CA 2
 1 s:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=PositiveSSL CA 2
   i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
 2 s:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
   i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
Ну и немного для понимания
RFC-5246 'The Transport Layer Security (TLS) Protocol Version 1.2'
...
certificate_list
This is a sequence (chain) of certificates. The sender's certificate MUST come first in the list. Each following certificate MUST directly certify the one preceding it. Because certificate validation requires that root keys be distributed independently, the self-signed certificate that specifies the root certificate authority MAY be omitted from the chain, under the assumption that the remote end must already possess it in order to validate it in any case.
...
IT voodoo blog https://kostikov.co