[+] Postfix + TLS odnowienie certyfikatu

Konfiguracja serwerów, usług, itp.
jumper1
Posty: 14
Rejestracja: 29 października 2015, 09:12

[+] Postfix + TLS odnowienie certyfikatu

Post autor: jumper1 »

Witam,

Mam serwer na którym wygasł certyfikat do wysyłki poczty TLS, wszystko wysyła się ok, ale chciałem to odnowić.
Wygenerowałem nowe pliki na stronie StratSSL, przekopiowałem wygenerowane klucze do nowych plików i analogicznie jak to teraz było zmieniłem w main.cf nazwę pliku zawierającego certyfikat. Restart postfixa i komunikat, że wysłanie wiadomości nie powiodło się. nie udało nawiązać się bezpiecznego połączenia z "mój serwer" poczty wychodzącej SMTP przy użyciu STARTTLS, jako, że nie ogłasza on jego stosowania.

W logu z poczty nic się nie pojawiło.

Za wszelkie wskazówki będę wdzięczny.

Pozdrawiam.
Awatar użytkownika
pawkrol
Moderator
Posty: 939
Rejestracja: 03 kwietnia 2011, 10:25

Post autor: pawkrol »

Czym wysyłasz poczte?
Np thunderbird sprawdza ocsp i pewnie jeszcze certyfikat nie jest dodany do bazy.
Odczekaj troche, lub sprawdź innym klientem.
jumper1
Posty: 14
Rejestracja: 29 października 2015, 09:12

Post autor: jumper1 »

Sprawdzam na thunderbirdzie.

A ile na ogół trzeba czekać na działanie na TB?

Za chwilę sprawdzę na outlooku i dam znać czy tak samo.
jumper1
Posty: 14
Rejestracja: 29 października 2015, 09:12

Post autor: jumper1 »

Na outlooku to samo.

Tylko czy przy rejestracji serwera pocztowego na StartSSL czy istotne jest w dalszym użytkowaniu certyfikatu czy poda się adres postmaster czy webmaster?
Awatar użytkownika
pawkrol
Moderator
Posty: 939
Rejestracja: 03 kwietnia 2011, 10:25

Post autor: pawkrol »

Nie jest istotny mail. Na niego przychodzi tylko potwierdzenie. Ma to na celu sprawdzenie czy jesteś właścicielem domeny.
OCSP aktualizują kilka godzin. Najlepiej sprawdzić na następny dzień.

Możesz jeszcze spróbować :
Narzędzia opcje - Zaawansowane - Certyfikaty i odfajkować "Wyślij zapytanie do serwerów OCSP, aby potwierdzić ......"
Następnie uruchomić jeszcze raz thunderbirda i sprawdzić.
jumper1
Posty: 14
Rejestracja: 29 października 2015, 09:12

Post autor: jumper1 »

Certyfikat rejestrowałem wczoraj.
Tylko porównuje stary i nowy certyfikat i jest jedna różnica w szczegóły-> podmiot
W starym:
E = **********
CN = **************
C = PL
Description = 1Ttn************

A w nowym jest to samo tylko brak Description.
Nie wiem czy to jest istotne?

Certyfikat ważny od: ‎27 ‎października ‎2015 18:46:26
Awatar użytkownika
pawkrol
Moderator
Posty: 939
Rejestracja: 03 kwietnia 2011, 10:25

Post autor: pawkrol »

W takim razie to nie ocsp. W certyfikacie ma być CN,C i wystarczy.
Z jakiego serwera imap korzystasz? Zaglądnij do jego logów
jumper1
Posty: 14
Rejestracja: 29 października 2015, 09:12

Post autor: jumper1 »

Jeszcze jedno pytanie, bo czytam Postfix TLS Support i nie wiem czy dobrze rozumiem co tam pisze, ale czy zawartość pliku .key lub .crt mam dodać do CAfiles ?
Awatar użytkownika
pawkrol
Moderator
Posty: 939
Rejestracja: 03 kwietnia 2011, 10:25

Post autor: pawkrol »

Nie

To ma tak wyglądać, ścieżki wedle uznania:

Kod: Zaznacz cały

smtpd_tls_key_file = /etc/postfix/ssl/mail2016.pem
smtpd_tls_cert_file = /etc/postfix/ssl/mail2016.crt
smtpd_tls_CAfile = /etc/postfix/ssl/startsslca.pem
jumper1
Posty: 14
Rejestracja: 29 października 2015, 09:12

Post autor: jumper1 »

Oct 25 06:34:16 gr*** dovecot: imap-login: Login: user=<**********>, method=PLAIN, rip=94.254*********, lip=83.********, mpid=35578, TLS, session=<sSoOMuciAABe/$

Czy o to chodzi?
Zablokowany