Re: параметр Exim, отвечающий за intermediate-сертификат
04.02.2016 19:07, Artem Chuprina пишет:
> Sohin Vyacheslav -> debian-russian@lists.debian.org @ Thu, 4 Feb 2016 13:06:55 +0200:
>
> >> А отношение к делу имеют tls_certificate и tls_privatekey. И в
> >> tls_certificate не надо класть private key. У них, собственно, и
> >> права-то обычно разные. Сертификат - публичная информация, а секретный
> >> ключ - отнюдь. А вот оба сертификата - и свой, и промежуточный - как
> >> раз надо, именно в этом порядке.
я убрал ключ из exim.crt и раскомментировал строку с exim.key в
exim4.conf => всё так-же работает, визуально в логе ничего не изменилось...
в http://www.rldp.ru/exim/exim480r/glava38.htm указано:
tls_certificate =/some/file/name
tls_privatekey =/some/file/name
Это может быть один и тот же файл, если в нём содержатся сертификат и ключ.
> Права на эти файлы
>
> -r-------- 1 Debian-exim root 1679 Oct 31 2014 /etc/exim4/lasgalen.nest.key
> -rw-r--r-- 1 root root 4824 Mar 23 2014 /etc/ssl/certs/lasgalen.nest.crt
спасибо, права на ключ подправил для секьюрности...
>
> Плюс еще момент в аутентификации:
>
> begin authenticators
>
> dovecot_login:
> driver = dovecot
> public_name = LOGIN
> server_advertise_condition = ${if eq{$tls_cipher}{}{no}{yes}}
> server_socket = /var/run/dovecot/auth-client
> server_set_id = $auth1
>
> dovecot_plain:
> driver = dovecot
> public_name = PLAIN
> server_advertise_condition = ${if eq{$tls_cipher}{}{no}{yes}}
> server_socket = /var/run/dovecot/auth-client
> server_set_id = $auth1
>
> Типа, если у нас нету TLS, даже не пытаться предлагать аутентификацию.
>
спасибо, добавил строку условия server_advertise_condition = ${if
eq{$tls_cipher}{}{no}{yes}} в аутентификаторы
> В моем случае я пользуюсь собственным CA, и у меня нет промежуточного,
> но разница должна быть исключительно в содержимом файла, на который
> указывает tls_certificate.
>
> А глядя на конфиг на ноутбуке (на ноуте, в отличие от сервера, он у меня
> не ручной, а сконфигурированный через дебиановскую систему), я наблюдаю,
> что дефолты будут такие:
>
> tls_advertise_hosts = *
> tls_certificate = /etc/exim4/exim.crt
> tls_privatekey = /etc/exim4/exim.key
> tls_verify_certificates = /etc/ssl/certs/ca-certificates.crt
>
> (требовать клиентских сертификатов он при этом не будет, поскольку
> tls_verify_hosts и tls_try_verify_hosts не выставлены; но тут видно, что
> tls_verify_certificates - это набор сертификатов CA, которыми подписаны
> клиентские, что логично)
>
в http://www.rldp.ru/exim/exim480r/glava38.htm также указано:
Если установлена опция tls_verify_certificates, она должна быть именем
файла или (только для OpenSSL, не для GnuTLS) каталогом, который как
ожидается содержит коллекцию серверных сертификатов.
имеется в виду не сертификат exim.crt, a ca-certificates.crt?
--
BW,
Сохин Вячеслав
Reply to: