Postfix TLS. Генерация SSL сертификата [solved]
Задача настроить постфикс использовать TLS с несколькими доменами.
С одним доменом все хорошо работает (напр. smtp.myserver.com) .
Но, если пользователи указывают в качестве smtp имя из своего почтового домена (mail.domain2.com) то сертификат, сгенерированный для домена smtp.myserver.com сообщает (точнее почтовая программа сообщает, но не важно), что он выдан для другого домена и , типа, желаете ли вы продолжить. В ДНС все эти имена smtp... смотрят ессно на один IP.
Тоесть, понятно, надо использовать расширение стандарта X509 V3, которое позволяет в том числе указывать несколько альтернативных имён.
Делаю так:
Создаю файл openssl.cfg
Генерирую сертификат
openssl req -new -x509 -days 3650 -config openssl.cfg -out server.crt
Делаю .pem файл сертификата:
cat server.crt server.key> server.pem
Говорю постфиксу где брать сертификат
smtp_use_tls = yes
smtpd_use_tls = yes
smtpd_tls_auth_only = yes
smtp_tls_note_starttls_offer = yes
smtpd_tls_key_file = $base/ssl/smtpd.pem
smtpd_tls_cert_file = $base/ssl/smtpd.pem
smtpd_tls_CAfile = $base/ssl/smtpd.pem
и проверяю.
В логах все замечательно. Но почтавая программа пишет, что имя сертификата не соответствует имени хоста:
хост mail.doamin.com
сертификат выписан на mail.domain.com;mail.domain2.com;smtp.myserver.com
Вероятно, я не так создаю сертификат?
- Для комментирования войдите или зарегистрируйтесь
Цитата: сертификат выписан на
В этом и проблема
,
Как исправить мысли есть?
Выдавать сертификат на одно
Выдавать сертификат на одно доменное имя
,
А по делу есть мысли?
smtpd_tls_key_file =
"Ну ты понял" - сам не проверял , всплыло из глубин памяти на почве заучивания архитектуры постфикса наизусть :)
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
.
Спасибо.
Направление, кажется, уловил - почитаю.
По поводу сертификата: он точно оказался нормальным - попробовал его в Апаче использовать и броузер понимает, что он мультидоменный.
,
Забавно..
Добавил с openssl.conf
строки вида
И почтовый клиент прохавал.
Таки в сертификате было дело. Странно, почему конкретное имя не хотел принимать, а только маску..
ЗЫ попробовал подписаться на cacert.org, гемора еще больше: ниодин почтовый клиент из 3х корневой сертификат не знает, сертификат дается на полгода только,а ошибок еще больше клиент пишет: мой сертификат подписан неизвестным, и корневой тоже.
Может со временем подпишу на godaddy )
StartSSL
Можно еще его попробовать. Сертификаты дают на год, все major браузеры вроде как их знают.
.
Да, этот получше.
Firefox и Safari знают, Опера - нет
Спасибо
/
Интересно...
Как минимум:
Насколько я представляю,
.pemи.crtсуть одно и то же.:wq
--
Live free or die
,
Да нет, постфикс сертификат скушал, если сертификат не правильный он ругается и не дает STARTTLS.
А так все работает, только клиент подозревает неладное (несоответсвие имени)
.pem и .crt - это разные вещи. pem - содержит в себе ключ и сертификат
,
Ну и попутно еще один вопрос.
Можно ли где-то бесплатно подписать сертификат (а вдруг:)) ?
http://www.cacert.org/ Но
http://www.cacert.org/
Но поддержка корневого сертификата далеко не во всех клиентах.
Не грусти, товарищ! Всё хорошо, beautiful good!
Сертификат самоподписанный,
Сертификат самоподписанный, поэтому в нем нет доверенного корневого удостоверяющего центра, следавтельно, нет доверия самому сертификату. Нужно в почтовом клиент сделать импорт открытого сертификата сервера.
Не грусти, товарищ! Всё хорошо, beautiful good!
,
это ясно. и при первом соединении почтовая программа об этом говорит, я соглашаюсь и это не страшно.
Но если имя сертификата не соответствует имени хоста, то почтовик говорит об этом КАЖДЫЙ раз (Может вас пытаются подслушать?) И это напрягает.