nixp.ru v3.0

20 января 2017,
пятница,
06:41:48 MSK

DevOps с компанией «Флант»
raba написал 6 июля 2008 года в 13:29 (1225 просмотров) Ведет себя неопределенно; открыл 33 темы в форуме, оставил 77 комментариев на сайте.

Питаюсь прикрутить STARTTLS к sendmail, поскольку впервые ето делаю, посмотрел в handbook’e как ето делается ( http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/openssl.html ), все по шагом проделал, вроде проблемов не обнаружилось, только в telnet’e строка про STARTTLS не обнаружилас.

Trying 192.168.0.3…

Connected to testdom.ru.

Escape character is '^]’.

220 testdom.ru ESMTP Sendmail 8.14.2/8.14.2; Sun, 6 Jul 2008 13:08:49 +0400 (MSD)

ehlo testdom.ru

250-hostM.testdom.ru Hello [192.168.0.3], pleased to meet you

250-ENHANCEDSTATUSCODES

250-PIPELINING

250-8BITMIME

250-SIZE

250-DSN

250-ETRN

250-AUTH GSSAPI DIGEST-MD5 CRAM-MD5 LOGIN

250-DELIVERBY

250 HELP

Посмотрев /var/log/maillog, там обнаружил ошибку:

STARTTLS=server: file /etc/cert/unameca.key unsafe: Group readable file


Права переправил на 600, сообщения изменились на

STARTTLS=server, error: SSL_CTX_use_PrivateKey_file(/etc/cert/unameca.key) failed

Если кто-нибудь проходил того же «ада» :), помогите поправится, или разумную ссылку на того как ето делается, буду благодарен!

Anarchist

Гугл не помогает? Сказано же: http://www.linuxjournal.com/article/4823

Ты почему недостаточно внимательно читешь меня любимого?

В статье, где я разбирал тему OpenSSL (в том числе и генерацию сертификатов) чёрным по белому (правда для случая web-сервера) написано, что

При формировании ключа/сертификата сервера придётся вводить запрашиваемые passphrases. В дальнейшем для обеспечения возможности работы (старта) в полностью автоматическом режиме, скорее всего, потребуется создать ключ сервера, содержащий passphrase. Что делается следующей командой:

# openssl rsa -in server-1.key -out www.server-1.key
# chmod 400 www.server-1.key

sendmail, по всей видимости, при работе с OpenSSL не предоставляет пространства для паранойи (умеет работать только с ключами не требующими ввода passphrase) :(

metal
Anarchist
sendmail, по всей видимости, при работе с OpenSSL не предоставляет пространства для паранойи (умеет работать только с ключами не требующими ввода passphrase) :(

Это просто безобразие! :)

Anarchist
metal
Это просто безобразие! :)

Абсолютное!

Совершеннейший бардак, разброд и шатание!!! :)))

raba

Не сортесь :) ,я разобрался с помощью вышеуказаной статьей!

Anarchist
raba
Не сортесь :) ,я разобрался с помощью вышеуказаной статьей!

Мы не ссоримся, а просто решили, что тема раскрыта и можно с чистой совестью переходить к её забалтыванию :)

С помощью которой из вышепроцитированных статей?

На чём отстановился относительно принципов именования openssl-ключей для sendmail’а, с включённой passphrase?

ЗЫ: И не забудь раскрыть тему сопряжения sendmail’а с ключом, требующим ввода passphrase с клавиатуры. :)

raba

Разобрался с помощью ( http://www.linuxjournal.com/article/4823 )

То что вы упоменули с ожидание ввода пароля, не пробовал но мне стало интересно, будет время обезательно попробую!

Anarchist

Получил очередное подтверждение тому, что к бздишному хэндбуку должно относиться с изрядной долей осторожности?

raba
Разобрался с помощью ( http://www.linuxjournal.com/article/4823 )

Налицо вопиющее неуважение к моей скромной персоне :)

raba
То что вы упоменули с ожидание ввода пароля, не пробовал но мне стало интересно, будет время обезательно попробую!

Попробуй поиграться с Индейцем по упомянутой статье авторства меня любимого :)

Только здесь достаточно Индейца в нативном окружении.

Там оно куда как нагляднее выглядит.

И только после этого переходи к sendmail’у.

ЗЫ: Ты так и не ответил на вопрос по выбранному принципу именования ключей содержащих passphrase.

raba

Теперь courier-imap ругается на STARTTLS! Помогайте! В логах вот:

0906D06C:PEM routines:PEM_read_bio:no start line

Сертификат у меня начинается так:

Certificate:

Data:


Удалял и заголовка, так чтобы осталось:

——BEGIN CERTIFICATE——-


Тоже ня а помгло!

Anarchist
raba
Теперь courier-imap ругается на STARTTLS! Помогайте! В логах вот:

Сертификат у меня начинается так:

Удалял и заголовка, так чтобы осталось:

Тоже ня а помгло!

И правильно. А ты чего хотел?

Почто меня любимого не читаешь?!. :)

Умные люди пишут:

Courier IMAP and POP3 servers:

cd /etc/ssl/private
cat DOMAIN.ORG.key DOMAIN.ORG.crt > DOMAIN.ORG.pem
chmod 400 DOMAIN.ORG.pem
chattr +i DOMAIN.ORG.pem

/etc/courier-imap/imapd-ssl wrote:

IMAPDSSLSTART=YES
IMAPDSTARTTLS=YES
IMAP_TLS_REQUIRED=1
TLS_CERTFILE=/etc/ssl/private/DOMAIN.ORG.pem
TLS_TRUSTCERTS=/etc/ssl/certs

The same way you can configure pop3s too in /etc/courier-imap/pop3d-ssl.

На самом деле конечно хуйня. Но не то, чтобы полная.

И ты был в корне неправ не проштудировав мою статью, ссылку на которую я давал в теме (зачитать GPLv3 вслух три раза).

Потом — внимательно прочитать конфиг imap и/или pop3 (по вкусу) демона.

И наконец процитировать все упоминания ключей (!) и сертификатов (вопрос на троечку: почему не только сертификат сервера) из конфига (должно было сделать сразу!).

raba

Д неужели все так сложно!!! Если честно ситуация начинает раздражать! все так разбросано, и Ничего не понял что откуда и куда. Нету ли где-то в сети, 'howto Courier-imap TLS’, или что-то вроде етого?????

Anarchist
raba
Д неужели все так сложно!!!

Всё просто.

Но только после того, как ты поймёшь общий принцип.

raba
все так разбросано

Дык оно везде так.

raba
Ничего не понял что откуда и куда.

Потому что при понимании общих принципов многое очевидно. И опускается.

raba
Нету ли где-то в сети, 'howto Courier-imap TLS’, или что-то вроде етого?????

Нету.

Теперь по сути: без цитирования хотя бы части конфига лога обычно недостаточно.

ecobeingecobeing.ru
Экология и вегетарианство на благо всем живым существам Планеты.