[+] Postfix + TLS odnowienie certyfikatu

jumper1 · Post autor: **jumper1** » 29 października 2015, 10:33

Witam,

Mam serwer na którym wygasł certyfikat do wysyłki poczty TLS, wszystko wysyła się ok, ale chciałem to odnowić.
Wygenerowałem nowe pliki na stronie StratSSL, przekopiowałem wygenerowane klucze do nowych plików i analogicznie jak to teraz było zmieniłem w main.cf nazwę pliku zawierającego certyfikat. Restart postfixa i komunikat, że wysłanie wiadomości nie powiodło się. nie udało nawiązać się bezpiecznego połączenia z "mój serwer" poczty wychodzącej SMTP przy użyciu STARTTLS, jako, że nie ogłasza on jego stosowania.

W logu z poczty nic się nie pojawiło.

Za wszelkie wskazówki będę wdzięczny.

Pozdrawiam.

Post autor: **pawkrol** » 29 października 2015, 11:19

Czym wysyłasz poczte?
Np thunderbird sprawdza ocsp i pewnie jeszcze certyfikat nie jest dodany do bazy.
Odczekaj troche, lub sprawdź innym klientem.

jumper1 · Post autor: **jumper1** » 29 października 2015, 11:57

Sprawdzam na thunderbirdzie.

A ile na ogół trzeba czekać na działanie na TB?

Za chwilę sprawdzę na outlooku i dam znać czy tak samo.

jumper1 · Post autor: **jumper1** » 29 października 2015, 13:07

Na outlooku to samo.

Tylko czy przy rejestracji serwera pocztowego na StartSSL czy istotne jest w dalszym użytkowaniu certyfikatu czy poda się adres postmaster czy webmaster?

Post autor: **pawkrol** » 29 października 2015, 13:12

Nie jest istotny mail. Na niego przychodzi tylko potwierdzenie. Ma to na celu sprawdzenie czy jesteś właścicielem domeny.
OCSP aktualizują kilka godzin. Najlepiej sprawdzić na następny dzień.

Możesz jeszcze spróbować :
Narzędzia opcje - Zaawansowane - Certyfikaty i odfajkować "Wyślij zapytanie do serwerów OCSP, aby potwierdzić ......"
Następnie uruchomić jeszcze raz thunderbirda i sprawdzić.

jumper1 · Post autor: **jumper1** » 29 października 2015, 13:21

Certyfikat rejestrowałem wczoraj.
Tylko porównuje stary i nowy certyfikat i jest jedna różnica w szczegóły-> podmiot
W starym:
E = **********
CN = **************
C = PL
Description = 1Ttn************

A w nowym jest to samo tylko brak Description.
Nie wiem czy to jest istotne?

Certyfikat ważny od: ‎27 ‎października ‎2015 18:46:26

Post autor: **pawkrol** » 29 października 2015, 13:36

W takim razie to nie ocsp. W certyfikacie ma być CN,C i wystarczy.
Z jakiego serwera imap korzystasz? Zaglądnij do jego logów

jumper1 · Post autor: **jumper1** » 29 października 2015, 13:39

Jeszcze jedno pytanie, bo czytam Postfix TLS Support i nie wiem czy dobrze rozumiem co tam pisze, ale czy zawartość pliku .key lub .crt mam dodać do CAfiles ?

Post autor: **pawkrol** » 29 października 2015, 13:42

Nie

To ma tak wyglądać, ścieżki wedle uznania:

Kod: Zaznacz cały

smtpd_tls_key_file = /etc/postfix/ssl/mail2016.pem
smtpd_tls_cert_file = /etc/postfix/ssl/mail2016.crt
smtpd_tls_CAfile = /etc/postfix/ssl/startsslca.pem

jumper1 · Post autor: **jumper1** » 29 października 2015, 13:42

Oct 25 06:34:16 gr*** dovecot: imap-login: Login: user=<**********>, method=PLAIN, rip=94.254*********, lip=83.********, mpid=35578, TLS, session=<sSoOMuciAABe/$

Czy o to chodzi?