Re: параметр Exim, отвечающий за intermediate-сертификат
Sohin Vyacheslav -> debian-russian@lists.debian.org @ Thu, 4 Feb 2016 13:06:55 +0200:
>> А отношение к делу имеют tls_certificate и tls_privatekey. И в
>> tls_certificate не надо класть private key. У них, собственно, и
>> права-то обычно разные. Сертификат - публичная информация, а секретный
>> ключ - отнюдь. А вот оба сертификата - и свой, и промежуточный - как
>> раз надо, именно в этом порядке.
SV> упс! поторопился, попробую исправить... отпишусь...
SV> Спс!
Собственно, у меня часть, отвечающая за tls, выглядит так:
tls_advertise_hosts = *
tls_certificate = /etc/ssl/certs/lasgalen.nest.crt
tls_privatekey = /etc/exim4/lasgalen.nest.key
tls_on_connect_ports = 465
Права на эти файлы
-r-------- 1 Debian-exim root 1679 Oct 31 2014 /etc/exim4/lasgalen.nest.key
-rw-r--r-- 1 root root 4824 Mar 23 2014 /etc/ssl/certs/lasgalen.nest.crt
Плюс еще момент в аутентификации:
begin authenticators
dovecot_login:
driver = dovecot
public_name = LOGIN
server_advertise_condition = ${if eq{$tls_cipher}{}{no}{yes}}
server_socket = /var/run/dovecot/auth-client
server_set_id = $auth1
dovecot_plain:
driver = dovecot
public_name = PLAIN
server_advertise_condition = ${if eq{$tls_cipher}{}{no}{yes}}
server_socket = /var/run/dovecot/auth-client
server_set_id = $auth1
Типа, если у нас нету TLS, даже не пытаться предлагать аутентификацию.
В моем случае я пользуюсь собственным CA, и у меня нет промежуточного,
но разница должна быть исключительно в содержимом файла, на который
указывает tls_certificate.
А глядя на конфиг на ноутбуке (на ноуте, в отличие от сервера, он у меня
не ручной, а сконфигурированный через дебиановскую систему), я наблюдаю,
что дефолты будут такие:
tls_advertise_hosts = *
tls_certificate = /etc/exim4/exim.crt
tls_privatekey = /etc/exim4/exim.key
tls_verify_certificates = /etc/ssl/certs/ca-certificates.crt
(требовать клиентских сертификатов он при этом не будет, поскольку
tls_verify_hosts и tls_try_verify_hosts не выставлены; но тут видно, что
tls_verify_certificates - это набор сертификатов CA, которыми подписаны
клиентские, что логично)
Reply to: