forum.opennet.ru - "Сертификат ssl привязка к имени сервера." (3)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Сертификат ssl привязка к имени сервера."

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Сертификат ssl привязка к имени сервера."
Сообщение от varran on 28-Фев-07, 11:38
Добрый день! Столкнулся с такой проблемой: Имеется почтовый сервер postfix + courrier imap (CentOS 4.3) ip 10.52.0.200 Для внешних сетей использую TLS. Сертификат создавал посредством mkpop3cert входящим в courrier. Сервер в сертификате прописан post.nad.nnov.ru DNS запись post.nad.nnov.ru ссылается на 212.92.xxx.yyy Почтовый сервер сидит за cisco адрес 212.92.xxx.yyy - это DSL интерфейс роутера. соответсвенно cisco мэпит все tcp соединения приходящие на 212.92.xxx.yyy порты 25,110 на 10.52.0.200 Все бы хорошо, но имеется еще один интерфейс так же заведенный на cisco 10.52.254.253 - это радиоканал, который тоже очень хотелось бы шифровать TLS. cisco все соединения на 10.52.254.253 порты 25,110 также мэпит на 10.52.0.200 В результате, если я пытаюсь работать через TLS из радиосети, в качестве почтового сервера указав в качестве pop3 и smtp 10.52.254.253 , получаю ошибку, имя сервера не соответсвует серверу в сертификате. Указать в качестве сервера post.nad.nnov.ru не могу, т.к. этот адрес не смаршрутизируется внутри радиосети. С хостов, которые работают через интернет все живет хорошо. Как мне обойти этот трабл? Либо другой сертификат, либо что то еще?
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Сертификат ssl привязка к имени сервера., ekc, 11:44 , 28-Фев-07, (1)

Сертификат ssl привязка к имени сервера., varran, 16:57 , 28-Фев-07, (2)

Сертификат ssl привязка к имени сервера., varran, 18:25 , 28-Фев-07, (3)

Сообщения по теме [Сортировка по времени, UBB]

1. "Сертификат ssl привязка к имени сервера."

Сообщение от ekc (ok) on 28-Фев-07, 11:44

> Добрый день!
> Столкнулся с такой проблемой:
>
> Имеется почтовый сервер postfix + courrier imap (CentOS 4.3) ip 10.52.0.200
>
> Для внешних сетей использую TLS. Сертификат создавал посредством mkpop3cert входящим в
>courrier.
> Сервер в сертификате прописан post.nad.nnov.ru
> DNS запись post.nad.nnov.ru ссылается на 212.92.xxx.yyy
>
> Почтовый сервер сидит за cisco адрес 212.92.xxx.yyy - это DSL интерфейс
>роутера.
>соответсвенно cisco мэпит все tcp соединения приходящие на 212.92.xxx.yyy порты 25,110
>на 10.52.0.200
>
> Все бы хорошо, но имеется еще один интерфейс так же заведенный
>на cisco 10.52.254.253 - это радиоканал, который тоже очень хотелось бы
>шифровать TLS.
> cisco все соединения на 10.52.254.253 порты 25,110 также мэпит на 10.52.0.200
>
>
> В результате, если я пытаюсь работать через TLS из радиосети, в
>качестве почтового сервера указав в качестве pop3 и smtp 10.52.254.253 ,
>получаю ошибку, имя сервера не соответсвует серверу в сертификате. Указать в
>качестве сервера post.nad.nnov.ru не могу, т.к. этот адрес не смаршрутизируется внутри
>радиосети.
> С хостов, которые работают через интернет все живет хорошо.
>
> Как мне обойти этот трабл? Либо другой сертификат, либо что то
>еще?
man openssl на предмет subjectAltname (или google).

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Сертификат ssl привязка к имени сервера."

Сообщение от varran on 28-Фев-07, 16:57

>> Добрый день!
>> Столкнулся с такой проблемой:
>>
>> Имеется почтовый сервер postfix + courrier imap (CentOS 4.3) ip 10.52.0.200
>>
>> Для внешних сетей использую TLS. Сертификат создавал посредством mkpop3cert входящим в
>>courrier.
>> Сервер в сертификате прописан post.nad.nnov.ru
>> DNS запись post.nad.nnov.ru ссылается на 212.92.xxx.yyy
>>
>> Почтовый сервер сидит за cisco адрес 212.92.xxx.yyy - это DSL интерфейс
>>роутера.
>>соответсвенно cisco мэпит все tcp соединения приходящие на 212.92.xxx.yyy порты 25,110
>>на 10.52.0.200
>>
>> Все бы хорошо, но имеется еще один интерфейс так же заведенный
>>на cisco 10.52.254.253 - это радиоканал, который тоже очень хотелось бы
>>шифровать TLS.
>> cisco все соединения на 10.52.254.253 порты 25,110 также мэпит на 10.52.0.200
>>
>>
>> В результате, если я пытаюсь работать через TLS из радиосети, в
>>качестве почтового сервера указав в качестве pop3 и smtp 10.52.254.253 ,
>>получаю ошибку, имя сервера не соответсвует серверу в сертификате. Указать в
>>качестве сервера post.nad.nnov.ru не могу, т.к. этот адрес не смаршрутизируется внутри
>>радиосети.
>> С хостов, которые работают через интернет все живет хорошо.
>>
>> Как мне обойти этот трабл? Либо другой сертификат, либо что то
>>еще?
>
>man openssl на предмет subjectAltname (или google).
Спасибо направление видимо то что надо, но с его применением я что то подзапутался.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Сертификат ssl привязка к имени сервера."

Сообщение от varran on 28-Фев-07, 18:25

Так и не понял правильно ли делал.
Добавил в файл секцию [ usr_cert ], получил вот такой файл. Но после генерации postfix его вроде как не подхватывает. Т.е. я полученный файл переименовал, указывал его в main.cf и делал postfix reload
генерировал с такой конфигурацией.
RANDFILE = /usr/local/courier-imap/share/pop3d.rand
[ req ]
default_bits = 4024
encrypt_key = yes
distinguished_name = req_dn
x509_extensions = cert_type
prompt = no
[ req_dn ]
C=ru
ST=ch
L=N.Novgorod
O=Courier Mail Server
OU=Automatically-generated POP3 SSL key
CN=webmail.nad.nnov.ru
emailAddress=postmaster@nad.nnov.ru
[ usr_cert]
subjectAltName=CN:pss.nad.nnov.ru
[ cert_type ]
nsCertType = server

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Сертификат ssl привязка к имени сервера."
Сообщение от ekc (ok) on 28-Фев-07, 11:44
> Добрый день! > Столкнулся с такой проблемой: > > Имеется почтовый сервер postfix + courrier imap (CentOS 4.3) ip 10.52.0.200 > > Для внешних сетей использую TLS. Сертификат создавал посредством mkpop3cert входящим в >courrier. > Сервер в сертификате прописан post.nad.nnov.ru > DNS запись post.nad.nnov.ru ссылается на 212.92.xxx.yyy > > Почтовый сервер сидит за cisco адрес 212.92.xxx.yyy - это DSL интерфейс >роутера. >соответсвенно cisco мэпит все tcp соединения приходящие на 212.92.xxx.yyy порты 25,110 >на 10.52.0.200 > > Все бы хорошо, но имеется еще один интерфейс так же заведенный >на cisco 10.52.254.253 - это радиоканал, который тоже очень хотелось бы >шифровать TLS. > cisco все соединения на 10.52.254.253 порты 25,110 также мэпит на 10.52.0.200 > > > В результате, если я пытаюсь работать через TLS из радиосети, в >качестве почтового сервера указав в качестве pop3 и smtp 10.52.254.253 , >получаю ошибку, имя сервера не соответсвует серверу в сертификате. Указать в >качестве сервера post.nad.nnov.ru не могу, т.к. этот адрес не смаршрутизируется внутри >радиосети. > С хостов, которые работают через интернет все живет хорошо. > > Как мне обойти этот трабл? Либо другой сертификат, либо что то >еще? man openssl на предмет subjectAltname (или google).
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Сертификат ssl привязка к имени сервера."
	Сообщение от varran on 28-Фев-07, 16:57
	>> Добрый день! >> Столкнулся с такой проблемой: >> >> Имеется почтовый сервер postfix + courrier imap (CentOS 4.3) ip 10.52.0.200 >> >> Для внешних сетей использую TLS. Сертификат создавал посредством mkpop3cert входящим в >>courrier. >> Сервер в сертификате прописан post.nad.nnov.ru >> DNS запись post.nad.nnov.ru ссылается на 212.92.xxx.yyy >> >> Почтовый сервер сидит за cisco адрес 212.92.xxx.yyy - это DSL интерфейс >>роутера. >>соответсвенно cisco мэпит все tcp соединения приходящие на 212.92.xxx.yyy порты 25,110 >>на 10.52.0.200 >> >> Все бы хорошо, но имеется еще один интерфейс так же заведенный >>на cisco 10.52.254.253 - это радиоканал, который тоже очень хотелось бы >>шифровать TLS. >> cisco все соединения на 10.52.254.253 порты 25,110 также мэпит на 10.52.0.200 >> >> >> В результате, если я пытаюсь работать через TLS из радиосети, в >>качестве почтового сервера указав в качестве pop3 и smtp 10.52.254.253 , >>получаю ошибку, имя сервера не соответсвует серверу в сертификате. Указать в >>качестве сервера post.nad.nnov.ru не могу, т.к. этот адрес не смаршрутизируется внутри >>радиосети. >> С хостов, которые работают через интернет все живет хорошо. >> >> Как мне обойти этот трабл? Либо другой сертификат, либо что то >>еще? > >man openssl на предмет subjectAltname (или google). Спасибо направление видимо то что надо, но с его применением я что то подзапутался.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Сертификат ssl привязка к имени сервера."
	Сообщение от varran on 28-Фев-07, 18:25
	Так и не понял правильно ли делал. Добавил в файл секцию [ usr_cert ], получил вот такой файл. Но после генерации postfix его вроде как не подхватывает. Т.е. я полученный файл переименовал, указывал его в main.cf и делал postfix reload генерировал с такой конфигурацией. RANDFILE = /usr/local/courier-imap/share/pop3d.rand [ req ] default_bits = 4024 encrypt_key = yes distinguished_name = req_dn x509_extensions = cert_type prompt = no [ req_dn ] C=ru ST=ch L=N.Novgorod O=Courier Mail Server OU=Automatically-generated POP3 SSL key CN=webmail.nad.nnov.ru emailAddress=postmaster@nad.nnov.ru [ usr_cert] subjectAltName=CN:pss.nad.nnov.ru [ cert_type ] nsCertType = server
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]