Страница 1 из 1
exim + SSL
Добавлено: 2008-12-02 17:25:12
Sid11
Господа, серьезная проблема, уже и не знаю куда ткнуться...
есть exim настроен с openssl, работает по starttls... и все бы ничего... ssl хочу использовать для пользователей из интернета, что хотят работать через наш сервер (наши торговые агенты)...
столкнулся с проблемой, что при подключении к starttsl , если у пользователя нет сертификата, exim данный сертификат ему выдает... соответственно дальше остается только авторизоваться делай что хочешь... есть ли возможность запретить выдавать сертификат exim-у, т.е. только проверять предоставляет ли пользователь серстификат, если нет - отворот поворот, если да - добро пожаловать...
настройки TLS следующие:
Код: Выделить всё
tls_advertise_hosts = *
tls_verify_hosts = 192.0.0.145
auth_advertise_hosts = ${if eq{$tls_cipher}{}{}{*}} : 192.168.0.0/24
tls_certificate = /etc/ssl/cert1.pem
tls_privatekey = /etc/ssl/key1.pem
причем пробовал опции
tls_verify_certificates
tls_verify_hosts
tls_try_verify_hosts
все равно, либо не работает, либо выдается сертификат по требованию...
((
кто-нидь с этим работал? есть ли вообще возможность это запретить???!!!...
(
Re: exim + SSL
Добавлено: 2008-12-02 18:03:02
hizel
и снова здравствуйте
по сабжу, это нормальное поведение
есть пара сертификат + ключ к нему, чтобы подписаться сертификатом нужен ключ, ключ клиенту не выдается, все довольные улыбаются
думаю вам, чтобы было сухо и комфортно необходимо сделать свой корневой сертификат и подписать им свой почтовик и подобное
клиентам выдать сертификат корневой, чтобы они импортировали его в список своих доверенных и далее строго настрого наказать, что
при работе с вашим почтовиком никаких предупреждений и ошибок по поводу ssl, tls и сертификатов не должно быть иначе атата
Re: exim + SSL
Добавлено: 2008-12-03 11:19:13
Sid11
Да, я нашел вчера вечером вариант, когда создается корневой сертификат, создается серверный сертификат на DNS имя сервера.. создается запрос на подпись сертификата, подписывается серверный сертификат при помощи корневого сертификата и приватного ключа корневого сертификата... (помоему это то, о чем вы говорили...)
и действительно, если корневого сертификата нет у пользователя в доверенных сертификатах, импорт сертификата сервера не происходит... в логах бата есть данные о сертификатах и сообщение об ошибке:
!03.12.2008, 10:57:45: SEND - Приветствие TLS не завершено. Недействительный сертификат сервера (Поставщик цепочки этого S/MIME сертификата не найден).
В логах же exim-а ошибок нет
( там нормальное tls соединение и соответственно авторизация проходит и письмо отправляется...
(
авторизация разрешена только тем у кого шифровано соединение:
auth_advertise_hosts = ${if eq{$tls_cipher}{}{}{*}}
либо я что-то не так сделал...
(
а важно как раз что бы невозможно было отправить письмо, а сам exim походу ошибки не видит... т.е как это письмо идентифицировать , что бы пропускать или не пропускать я не знаю...
(
Re: exim + SSL
Добавлено: 2008-12-03 14:57:45
hizel
exim об этой ошибке и не узнает, клиент запрашивает сертификат, сервер отдает, клиент просто отключается
не пойму я вас, в чем ваша проблема
Re: exim + SSL
Добавлено: 2008-12-04 13:37:11
Sid11
hizel писал(а):exim об этой ошибке и не узнает, клиент запрашивает сертификат, сервер отдает, клиент просто отключается
не пойму я вас, в чем ваша проблема
Я как раз и хочу, что бы сервер не отдавал сертификат, а, при попытке TLS соединения, только проверял предоставляется ли сертификат клиентом и действительный ли это сертификат...
вот и все..
Re: exim + SSL
Добавлено: 2008-12-08 13:53:35
Sid11
господа, неужели это такой простой или такой сложный вопрос, что просто никто не может подсказать?!!!! ....
Re: exim + SSL
Добавлено: 2008-12-08 14:04:52
Alex Keda
никто походу понять не может что вы хотите
Re: exim + SSL
Добавлено: 2008-12-09 10:43:49
Sid11
даже и не знаю, что сказать...
попробую еще раз объяснить:
при подключении к exim-у через starttls без предъявления сертификата tls, сервер сам предоставляет клиенту нужный сертификат, после чего происходит работа через него...
я бы хотел что бы, если клиент не предоставляет сертификат, подключаясь через starttls, то ему бы давался отворот-поворот.
Т.е. чтобы сервер не раздавал сертификаты, а лишь проверял их.
как это сделать я не знаю...через exim пробовал много... описал это вначале темы...
Re: exim + SSL
Добавлено: 2008-12-09 11:10:33
Alex Keda
хм...
даже не знаю =(
чё-то в доке такого не видел....
=======
вы сертификаты вместо авторизации хотите чтоли прикрутить?
Re: exim + SSL
Добавлено: 2008-12-09 11:41:17
Sid11
да вот именно... я тоже не нашел... более того даже не знаю куда ткнуться, хотя вроде бы идея весьма простая...
неужели никто с этим не работал...
(
Re: exim + SSL
Добавлено: 2008-12-09 11:51:30
hizel
для exim видимо вам нужно посмотреть
http://www.lissyara.su/?id=1238
сюда в раздел 38.7
если это то чего вы хотите
Пы.Сы. вспомнил SSL_CTX_set_verify, как то напоролся когда jabberd2 ставил %:)
Re: exim + SSL
Добавлено: 2008-12-10 11:13:48
Sid11
hizel писал(а):для exim видимо вам нужно посмотреть
http://www.lissyara.su/?id=1238
сюда в раздел 38.7
если это то чего вы хотите
Пы.Сы. вспомнил SSL_CTX_set_verify, как то напоролся когда jabberd2 ставил %:)
опции :
tls_verify_certificates
tls_verify_hosts
tls_try_verify_hosts
я пробовал... по описанию они вроде делают то , что надо... а реально что то у мну не получилось...
попробую еще раз...
а опцию
SSL_CTX_set_verify - я поищу...
спасибо
Re: exim + SSL
Добавлено: 2008-12-10 11:48:50
hizel
это не опция, а функция из openssl библиотеки, посмотрите man SSL_CTX_set_verify
там описание логики работы, они в принципе применимы для всех SSL подключений,
другое дело как с ним работает конкретное приложение
Re: exim + SSL
Добавлено: 2008-12-10 16:01:22
Sid11
спасибо за подсказку!!!
в ближайшее время обязательно посмотрю!!