Re: параметр Exim, отвечающий за intermediate-сертификат
Sohin Vyacheslav -> debian-russian@lists.debian.org @ Wed, 3 Feb 2016 19:43:24 +0200:
>> тестировать SSL/TLS соединения телнетом сложно :)
>> попробуй
>> openssl s_client -connect server:port
SV> $ openssl s_client -connect server:465
SV> CONNECTED(00000003)
SV> write:errno=104
SV> ---
SV> no peer certificate available
SV> ---
SV> No client certificate CA names sent
SV> ---
SV> SSL handshake has read 0 bytes and written 295 bytes
SV> ---
SV> New, (NONE), Cipher is (NONE)
SV> Secure Renegotiation IS NOT supported
SV> Compression: NONE
SV> Expansion: NONE
SV> ---
Есть мнение, что сервер вообще как-то криво сконфигурирован. Потому что
в случае, когда все сконфигурировано нормально, но не удается проверить
цепочку, openssl s_client успешно соединяется, но рассказывает, что не
поверил в сертификат:
zsh% openssl s_client -connect nest:465
CONNECTED(00000003)
depth=0 O = lasgalen.net, CN = nest.lasgalen.net
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 O = lasgalen.net, CN = nest.lasgalen.net
verify error:num=27:certificate not trusted
verify return:1
depth=0 O = lasgalen.net, CN = nest.lasgalen.net
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
0 s:/O=lasgalen.net/CN=nest.lasgalen.net
i:/O=lasgalen.net/OU=CA/CN=lasgalen.net CA
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=/O=lasgalen.net/CN=nest.lasgalen.net
issuer=/O=lasgalen.net/OU=CA/CN=lasgalen.net CA
---
No client certificate CA names sent
---
SSL handshake has read 2346 bytes and written 653 bytes
---
New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA256
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1.2
Cipher : DHE-RSA-AES256-SHA256
Session-ID: 7B70E3ED421D2C29F9C9FC4EC1CB6C048925798D40DC57C3D5C8A5626B779BB5
Session-ID-ctx:
Master-Key: 399C5ADC57DDEA1825CD4A40A19A7C3B17B4A29FE706DF874C3533BA31452D484492614B724DBF9DC137D6C769101336
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1454566892
Timeout : 300 (sec)
Verify return code: 21 (unable to verify the first certificate)
---
220 nest.lasgalen.net ESMTP Exim 4.80 Thu, 04 Feb 2016 06:21:33 +0000
А в твоем случае он оттуда ни байта не прочел. Он попытался сразу туда
что-то записать (что-то - это, вероятно, ClientHello), и получил write
error. Причем именно write error, а не непротокольное сообщение, как
было бы в случае, если бы на 465 порту просто не ждали TLS.
Reply to: