forum.lissyara.su

Сталина давно нэт. Чтоби спасти Россию, ищитэ его внутри сэбя...
https://forum.lissyara.su/

exim4 и ssl от публичного CA

https://forum.lissyara.su/viewtopic.php?f=20&t=42620

Страница 1 из 1

exim4 и ssl от публичного CA

Добавлено: 2014-12-22 15:29:04
ssh2
Коллеги приветствую.

Потребовалось заменить самописный сертификат на "настоящий". После рестарта exim с новыми ключами, mta перестаёт принимать почту от google, сообщая в лог:

Код: Выделить всё

2014-12-22 02:42:55 TLS error on connection from mail-la0-f52.google.com [209.85.215.52] (cert/key setup: cert=/etc/exim4/exim.crt key=/etc/exim4/exim.key): The provided X.509 certificate list is
 not sorted (in subject to issuer order)
Авторизация клиентов при установлении SMTP судя по всему тоже перестаёт работать.
Сертификат получен банальным объединением в один файл General CA, intermediate и domain. Файл с ключом само собой верный. Этот же комплект прекрасно работает в dovecot и получает на http://www.ssllabs.com А+.

Поиск на форму не помог.

Re: exim4 и ssl от публичного CA

Добавлено: 2014-12-22 15:31:48
xM
Проверьте порядок следования в объединённом файле

Re: exim4 и ssl от публичного CA

Добавлено: 2014-12-22 15:50:05
ssh2
xM писал(а):Проверьте порядок следования в объединённом файле
Хм, с порядком всё в порядке как мне кажется. У других приложений нет проблем с использованием этого сертификата, кроме того

Код: Выделить всё

root@mail:/etc/exim4/ssl# openssl verify star_domain-full.crt
star_domain-full.crt: OK
Права и владельца я проверил в первую очередь.

Re: exim4 и ssl от публичного CA

Добавлено: 2014-12-22 19:39:28
xM
Лучше так

Код: Выделить всё

# openssl s_client -connect your.host:465

Re: exim4 и ssl от публичного CA

Добавлено: 2014-12-22 19:44:01
xM
Правильный порядок должен быть примерно такой

Код: Выделить всё

Certificate chain
 0 s:/OU=Domain Control Validated/OU=PositiveSSL/CN=my.host
   i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=PositiveSSL CA 2
 1 s:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=PositiveSSL CA 2
   i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
 2 s:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
   i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
Ну и немного для понимания
RFC-5246 'The Transport Layer Security (TLS) Protocol Version 1.2'
...
certificate_list
This is a sequence (chain) of certificates. The sender's certificate MUST come first in the list. Each following certificate MUST directly certify the one preceding it. Because certificate validation requires that root keys be distributed independently, the self-signed certificate that specifies the root certificate authority MAY be omitted from the chain, under the assumption that the remote end must already possess it in order to validate it in any case.
...
Часовой пояс: UTC+03:00
Страница 1 из 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/