Re: параметр Exim, отвечающий за intermediate-сертификат

To: debian-russian@lists.debian.org
Subject: Re: параметр Exim, отвечающий за intermediate-сертификат
From: Artem Chuprina <ran@lasgalen.net>
Date: Thu, 04 Feb 2016 20:07:35 +0300
Message-id: <[🔎] 87si18ieug.fsf@silver.lasgalen.net>
Mail-followup-to: debian-russian@lists.debian.org
In-reply-to: <[🔎] 56B330CF.2040206@yandex.ua> (Sohin Vyacheslav's message of "Thu, 4 Feb 2016 13:06:55 +0200")
References: <[🔎] 56B2067A.5000906@yandex.ua> <[🔎] 56B231FF.3080201@gmail.com> <[🔎] 56B23C3C.3020909@yandex.ua> <[🔎] 87egctj8cf.fsf@silver.lasgalen.net> <[🔎] 56B319C6.8020602@yandex.ua> <[🔎] 87a8ngkbgd.fsf@silver.lasgalen.net> <[🔎] 56B330CF.2040206@yandex.ua>

Sohin Vyacheslav -> debian-russian@lists.debian.org  @ Thu, 4 Feb 2016 13:06:55 +0200:

 >> А отношение к делу имеют tls_certificate и tls_privatekey.  И в
 >> tls_certificate не надо класть private key.  У них, собственно, и
 >> права-то обычно разные.  Сертификат - публичная информация, а секретный
 >> ключ - отнюдь.  А вот оба сертификата - и свой, и промежуточный - как
 >> раз надо, именно в этом порядке.

 SV> упс! поторопился, попробую исправить... отпишусь...
 SV> Спс!

Собственно, у меня часть, отвечающая за tls, выглядит так:

tls_advertise_hosts = *
tls_certificate = /etc/ssl/certs/lasgalen.nest.crt
tls_privatekey = /etc/exim4/lasgalen.nest.key
tls_on_connect_ports = 465

Права на эти файлы

-r-------- 1 Debian-exim root 1679 Oct 31  2014 /etc/exim4/lasgalen.nest.key
-rw-r--r-- 1 root        root 4824 Mar 23  2014 /etc/ssl/certs/lasgalen.nest.crt

Плюс еще момент в аутентификации:

begin authenticators

dovecot_login:
    driver = dovecot
    public_name = LOGIN
    server_advertise_condition = ${if eq{$tls_cipher}{}{no}{yes}}
    server_socket = /var/run/dovecot/auth-client
    server_set_id = $auth1

dovecot_plain:
    driver = dovecot
    public_name = PLAIN
    server_advertise_condition = ${if eq{$tls_cipher}{}{no}{yes}}
    server_socket = /var/run/dovecot/auth-client
    server_set_id = $auth1

Типа, если у нас нету TLS, даже не пытаться предлагать аутентификацию.

В моем случае я пользуюсь собственным CA, и у меня нет промежуточного,
но разница должна быть исключительно в содержимом файла, на который
указывает tls_certificate.

А глядя на конфиг на ноутбуке (на ноуте, в отличие от сервера, он у меня
не ручной, а сконфигурированный через дебиановскую систему), я наблюдаю,
что дефолты будут такие:

tls_advertise_hosts = *
tls_certificate = /etc/exim4/exim.crt
tls_privatekey = /etc/exim4/exim.key
tls_verify_certificates = /etc/ssl/certs/ca-certificates.crt

(требовать клиентских сертификатов он при этом не будет, поскольку
tls_verify_hosts и tls_try_verify_hosts не выставлены; но тут видно, что
tls_verify_certificates - это набор сертификатов CA, которыми подписаны
клиентские, что логично)

Reply to:

Follow-Ups:
- Re: параметр Exim, отвечающий за intermediate-сертификат
  - From: Sohin Vyacheslav <in.soho@yandex.ua>

References:
- параметр Exim, отвечающий за intermediate-сертификат
  - From: Sohin Vyacheslav <in.soho@yandex.ua>
- Re: параметр Exim, отвечающий за intermediate-сертификат
  - From: Tim Sattarov <stimur@gmail.com>
- Re: параметр Exim, отвечающий за intermediate-сертификат
  - From: Sohin Vyacheslav <in.soho@yandex.ua>
- Re: параметр Exim, отвечающий за intermediate-сертификат
  - From: Artem Chuprina <ran@lasgalen.net>
- Re: параметр Exim, отвечающий за intermediate-сертификат
  - From: Sohin Vyacheslav <in.soho@yandex.ua>
- Re: параметр Exim, отвечающий за intermediate-сертификат
  - From: Artem Chuprina <ran@lasgalen.net>
- Re: параметр Exim, отвечающий за intermediate-сертификат
  - From: Sohin Vyacheslav <in.soho@yandex.ua>

Prev by Date: Re: параметр Exim, отвечающий за intermediate-сертификат
Next by Date: libcrypt / glibc bug?
Previous by thread: Re: параметр Exim, отвечающий за intermediate-сертификат
Next by thread: Re: параметр Exim, отвечающий за intermediate-сертификат
Index(es):
- Date
- Thread