Поставил почтовый сервер (BSD+QMAIL+CourierIMAP) с поддержкой sabj,все работает, но возникла следующая проблема с этой
самой сертификацией:
если кто-то начинает забирать почту почтовым клиентом ,он ругается следующим образом :

The server you are connected to is using a security certificate that could not be verified.
A certification chain processed correctly, but
terminated in a root certificate which isn't
trusted by trust provider.
Do you want use this server ?
Yes No

Отвечаешь yes и все работает.
Особенно недовольно начальство "какие-то у вас
проблемы с почтой".
Подскажите пожалуйста как подружить между собой эти самые сертификаты, или как заставить этот
root сертификат не "выделываться" ?

  

• RE: SSL сертификация для POP3SSL,lavr, 14:12 , 13-Фев-02
  • RE: SSL сертификация для POP3SSL,Op, 17:02 , 13-Фев-02
    • RE: SSL сертификация для POP3SSL,lavr, 17:10 , 13-Фев-02
      • RE: SSL сертификация для POP3SSL,Op, 19:33 , 13-Фев-02
        • RE: SSL сертификация для POP3SSL,lavr, 20:27 , 13-Фев-02
          • RE: SSL сертификация для POP3SSL,Op, 14:24 , 14-Фев-02
            • RE: SSL сертификация для POP3SSL,lavr, 19:24 , 14-Фев-02

>Поставил почтовый сервер (BSD+QMAIL+CourierIMAP) с поддержкой
>sabj,все работает, но возникла следующая
>проблема с этой
>самой сертификацией:
>если кто-то начинает забирать почту почтовым
>клиентом ,он ругается следующим образом
>:
>
>The server you are connected to
>is using a security certificate
>that could not be verified.
>
>A certification chain processed correctly, but
>
>terminated in a root certificate which
>isn't
>trusted by trust provider.
>Do you want use this server
>?
>Yes No
>
>Отвечаешь yes и все работает.
>Особенно недовольно начальство "какие-то у вас
>
>проблемы с почтой".

это не с почтой проблемы, а с пониманием и с возможными недоделками.

>Подскажите пожалуйста как подружить между собой
>эти самые сертификаты, или как
>заставить этот
>root сертификат не "выделываться" ?

какой такой "root" сертификат?

>
>

прочитать FAQ'и по SSL и сертификатам, в нормальных клиентах можно установить novalidate-cert, в Windoze клиентах - скачать
сертификат и добавить его в trusted

>прочитать FAQ'и по SSL и сертификатам,
>в нормальных клиентах можно установить
>novalidate-cert, в Windoze клиентах -
>скачать
>сертификат и добавить его в trusted

Спасибо за ответ ,
до того как спросить уже пробывал подсунуть
Windoze клиентам этот сертификат ,но для CoirierIMAP ./mkpop3dcert выдала мне файл pop3d.pem , a Windoze надо в либо .pfx .cer .crt
.stl .crl .sst .p7b
.pem она не понимает .....

Можно ли чем-нибуть его преобразовать в Windoze
формат ?

>>прочитать FAQ'и по SSL и сертификатам,
>>в нормальных клиентах можно установить
>>novalidate-cert, в Windoze клиентах -
>>скачать
>>сертификат и добавить его в trusted
>
>Спасибо за ответ ,
>до того как спросить уже пробывал
>подсунуть
>Windoze клиентам этот сертификат ,но для
>CoirierIMAP ./mkpop3dcert выдала мне файл
>pop3d.pem , a Windoze надо
>в либо .pfx .cer .crt
>
>.stl .crl .sst .p7b
>.pem она не понимает .....
>
>Можно ли чем-нибуть его преобразовать в
>Windoze
>формат ?

а пробовал почитать про SSL и сертификацию и
понять что нужно всасывать со стороны клиента
и как это сделать в Outlook Express?

подумать что содержит pem и что из него надо клиенту

PS. Ну и быть уверенным в правильности генерации
сертификата.

>понять что нужно всасывать со стороны
>клиента
>и как это сделать в Outlook
>Express?
>
>подумать что содержит pem и что
>из него надо клиенту
>
>PS. Ну и быть уверенным в
>правильности генерации
>сертификата.

Спасибо, сделал , Outlook понял сертифика,
положил куда надо ,
теперь говорит

сертификат сервера не может
быть проверен (verified)

0x800b010f

Do you want use this server ?
Yes No

Блин...
Посоветуйте пожалуйста - где есть нормальная документация по этому делу..

>>понять что нужно всасывать со стороны
>>клиента
>>и как это сделать в Outlook
>>Express?
>>
>>подумать что содержит pem и что
>>из него надо клиенту
>>
>>PS. Ну и быть уверенным в
>>правильности генерации
>>сертификата.
>
>Спасибо, сделал , Outlook понял сертифика,
>
>положил куда надо ,
>теперь говорит
>
>сертификат сервера не может
>быть проверен (verified)
>
>0x800b010f
>
>Do you want use this server
>?
>Yes No
>
>Блин...
>Посоветуйте пожалуйста - где есть нормальная
>документация по этому делу..

господя (кусок когда-то давно написанный для JINR):

1. Создаем заготовку конфига openssl.cnf (название любое)

1. Создаем заготовку конфига openssl.cnf (название любое)

в ней все прозрачно, но by defaul строки:
---------------------------- quote for dialog -------------------------------
[ req_dn ]
countryName = Country Name (2 letter code)
countryName_default             = NO
countryName_min                 = 2
countryName_max                 = 2

stateOrProvinceName             = State or Province Name (full name)
stateOrProvinceName_default     = Some-State

localityName                    = Locality Name (eg, city)
  
0.organizationName              = Organization Name (eg, company)
0.organizationName_default      = FooBar Inc.

organizationalUnitName          = Organizational Unit Name (eg, section)
organizationalUnitName_default =

0.commonName                    = Common Name (FQDN of your server)

1.commonName                    = Common Name (default)
1.commonName_value              = localhost
---------------------------- end of quote ------------------------------------

это неудобно, потому что приходится в диалоге заполнять поля по шаблону.

Тонкость в том, что в filename.cnf, чтобы избежать диалога, необходимо
добавить строку:

prompt = no
~~~~~~~~~~~
а в секции req_dn заполнить поля реальными значениями, которая задается в:
distinguished_name = req_dn

Если у нас в distinguished_name = my_data, то браться будет секция:
[ my_data ]
...
...
real parameters
---------------------------- cut stunnel.cnf ---------------------------------
HOME= .
RANDFILE = $ENV::HOME/.rnd

[ req ]
default_bits = 1024
encrypt_key = yes
distinguished_name = req_dn
x509_extensions = cert_type
prompt = no

#[ req_dn ]
#countryName = Country Name (2 letter code)
#countryName_default             = NO
#countryName_min                 = 2
#countryName_max                 = 2
#
#stateOrProvinceName             = State or Province Name (full name)
#stateOrProvinceName_default     = Some-State
#
#localityName                    = Locality Name (eg, city)
#
#0.organizationName              = Organization Name (eg, company)
#0.organizationName_default      = FooBar Inc.
#
#organizationalUnitName          = Organizational Unit Name (eg, section)
##organizationalUnitName_default =
#
#0.commonName                    = Common Name (FQDN of your server)
#
#1.commonName                    = Common Name (default)
#1.commonName_value              = localhost

#--lavr, удалить строки комментариев (#) и пользовать в удовольствие

[ req_dn ]
#C=двухбуквенный код страны
C=RU
#ST=Штат/Провинция/Область/Район
ST=Moscow Region
#L=город/село
L=Dubna Town
#O=Наименование Организации
O=Lavr Co.
#OU=Наименование ответственной организации
OU=Lavr CA
#CN=полное доменное(FQDN) имя телеги для которой генерится сертификат и на
#   которой будет сервис работающий через SSL с этим сертификатом
CN=lavr.pp.ru
#Email=почтовый адрес ответственного лица
Email=lavr@dubna.ru

[ cert_type ]
nsCertType = server

------------------------------ end of cut ------------------------------------

2. После того как конфиг готов, выполняем пару команд и сертификат в кармане:

openssl req -new -x509 -days 999 -nodes -config artefact.cnf -out stunnel.pem -k
eyout stunnel.pem

3. Просмотр и получение требуемой информации из созданного сертификата:

openssl x509 -subject -dates -fingerprint -noout -in stunnel.pem
или
openssl x509 -text -in stunnel.pem

использование ключей зависит от того что и как хотим посмотреть

4. Проверка сервисов работающих через SSL:

openssl s_client -connect hostname:port -state -debug

- hostname - имя хоста или fqdn
- port - соответствующий порт сервиса с ssl: 443 или 993 или 995

Использование сертификатов в почтовых агентах:

1. Unix

Если у нас самоподписные сертификаты, то в pine/mutt и других MTA работающих
через SSL, я обычно использую: imap/ssl/novalidate-cert (см. документацию),
либо добавить сертификат как доверительный

2. Windows

Вырезаем из сгенеренного pem-файла сертификат, и кладем в доступное на шаре
- для сети или на www для клиентов место для возможности download

После чего в клиенте находим место где всасываются сертификаты: в нашем случае
расширение crt (это не принципиально - там любое можно задать, важно содержание
этого файла, дальше получаю запрос как добавить - автоматом? (Да) после чего
данный сертификат кладется в trusted - доверительные)
Все, работа Windoze Mail-Agents по IMAP/POP3 via SSL происходит без вопросов.

PS. Могу ошибаться, но в четвертой версии OE какая-то хрень с работой IMAP и
с работой SSL, must be upgrade (что конкретно - не помню)

Best regards,
--
lavr

Спасибо
все работает.
Сделано все было точно также как и у вас.....
Проблема была в следующем (кому интересно)
В настройках клиента стоял IP адрес, а Outlook
проверяет DNS - на соответсвие хоста прописанного в клиенте и в сертификате ,
причем чтобы разобраться что он там проверяет я
на левом DNS сервере подсунул ему
фейковый IP - прошло !!!
Реально эта самая верификация не что иное как
проверка DNS соответствия.
Спасибо еще раз

>Спасибо
>все работает.
>Сделано все было точно также как
>и у вас.....
>Проблема была в следующем (кому интересно)
>
>В настройках клиента стоял IP адрес,
>а Outlook
>проверяет DNS - на соответсвие хоста
>прописанного в клиенте и в
>сертификате ,
>причем чтобы разобраться что он там
>проверяет я
>на левом DNS сервере подсунул ему
>
>фейковый IP - прошло !!!
>Реально эта самая верификация не что
>иное как
>проверка DNS соответствия.
>Спасибо еще раз

ну а как же иначе, хотел я дописать в том письме
что надо быть аккуратным в соответствии ip & fqdn
но в последний момент раздумал, предполагал что
это очевидно