Два простых вопроса к профи по почтовым сертификатам

1

3

Привет, уважаемые

Настроил на впс-ке веб и почтовый сервера. Везде работают доверенные сертификаты, а для OpenDKIM самогенерированный. В исходящих письмах домен нормально подтверждается, но у меня есть доверенный .pfx сертификат, которых хотел бы пристроить для этой цели заместо самодельного. Прошу подсказать как его сконвертировать в подходящий для DKIM сертификат с публичной частью.
почту настроил на домен вида example.com, а почти везде пишут, что надо делать вида mail.example.com. Нужно ли перенастроить, если у меня только один сервер с одним ip адресом?

Ссылка

←	Fibre Channel SAN и Centos 6.7

проблемы с dd

→

почти везде пишут, что надо делать вида mail.example.com

Врут. Твой домен, твой сервер — как тебе нравится так и делай, лишь бы стандарту соответствовало.

Goury ★★★★★
(16.03.16 22:27:28 MSK)

Ответ на: комментарий от Goury 16.03.16 22:27:28 MSK

Вы меня успокоили. По первому ничего не скажите?

rmu ★★
(16.03.16 22:31:05 MSK) автор топика

Конвертировал так:

openssl pkcs12 -in inp.pfx -out priv.pem -nodes -nocerts
openssl rsa -pubout -in priv.pem -out publ.pem

С этими ключами письма не доходят до адресата. Ошибку пишет такую:

SSL error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag; error:0D08303A:asn1 encoding routines:ASN1_TEMPLATE_NOEXP_D2I:nested asn1 error; error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag; error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error; error:04093004:rsa routines:OLD_RSA_PRIV_DECODE:RSA lib; error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag; error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error

rmu ★★
(16.03.16 22:46:25 MSK) автор топика
Последнее исправление: rmu 16.03.16 22:49:01 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от rmu 16.03.16 22:31:05 MSK

Нет, не скажу, я админю только на выходных, по будням я теперь разработчик.
Лучше я ничего не скажу, чем скажу что-нибудь неправильно.

Сертификация, шифрование и подписывание — вещи серьёзные.
Чтобы сделать всё как надо — нужно обязательно изучить описания стандартов и оттестировать по каждому пункту и по каждой возможной совокупности.

Если увижу что кто-то откровенную лажу гонит — подскажу кого не слушать. Но если лажа будет скрытной — могу и пропустить. Так что на каменты надейся, но сам референсы прочитай.

Goury ★★★★★
(16.03.16 22:47:18 MSK)
Последнее исправление: Goury 16.03.16 22:50:27 MSK (всего исправлений: 3)

Ответ на: комментарий от Goury 16.03.16 22:47:18 MSK

Спасибо. А пока буду ждать других гуру.

rmu ★★
(16.03.16 22:51:16 MSK) автор топика

Ссылка

Разобрался с конвертированием: для dkim нужны rsa приватный и публичный ключи. Сразу из pkcs12 (pfx) в rsa конвертация не работает, поэтому делаю промежуточный приватный ключ без пароля:

openssl pkcs12 -in original.pfx -out temp.key -nodes -nocerts

После этого уже можно получить rsa ключи:

openssl rsa -in temp.key -out private_rsa.pem
openssl rsa -in private_rsa.key -out public_rsa.pem -pubout -outform PEM

Секретный ключ кладу на место сгенерированного opendkim-genkey mail.private, затем заменяю открытый ключ в mail.txt и в записи DNS.

В итоге в заголовках письма dkim=pass spf=pass, письмам доверяют больше. Надеюсь, кому-то заметка пригодится.

rmu ★★
(17.03.16 00:23:30 MSK) автор топика

Ответ на: комментарий от rmu 17.03.16 00:23:30 MSK

Зачем вы это затеяли? Как работает DKIM лучше прочитали бы вместо этой бурной деятельности.

Ему *не нужен* доверенный сертификат, он вообще не опирается на систему PKI и не проверяет доверенный кем либо ключ или нет.

Он только проверяет, что письмо было подписано приватным ключом, который соответствует публичному ключу, опубликованному в DNS.

blind_oracle ★★★★★
(17.03.16 08:56:59 MSK)

Ответ на: комментарий от blind_oracle 17.03.16 08:56:59 MSK

Эх, ну ладно. Раз всё равно - пусть остаётся так, как уже настроено. Спасибо за инфу.

rmu ★★
(17.03.16 09:33:13 MSK) автор топика

Ссылка

Ответ на: комментарий от blind_oracle 17.03.16 08:56:59 MSK

Но ведь то, что ему оно не нужно, не означает что так делать нельзя.
Может стандарт на проверку подтверждения DKIM ключа пока не утверждён, но для некоторых случаев это может оказаться крайне полезно.

Goury ★★★★★
(17.03.16 15:06:47 MSK)

Ответ на: комментарий от Goury 17.03.16 15:06:47 MSK

Но ведь то, что ему оно не нужно, не означает что так делать нельзя.

Можно и на голове ходить - только зачем?

Может стандарт на проверку подтверждения DKIM ключа пока не утверждён, но для некоторых случаев это может оказаться крайне полезно

Для каких случаев? Это вы сами придумали? DKIM - это RFC-стандарт, в котором описано как и что проверяется. Знакомьтесь - https://tools.ietf.org/html/rfc6376

Там вообще про сертификаты ничего нет, даже прямо обратное утверждается:

there is no dependency on public- and private-key pairs being issued by well-known, trusted certificate authorities;

Зачем пытаться их на DKIM натянуть?

blind_oracle ★★★★★
(17.03.16 16:04:46 MSK)

Ответ на: комментарий от blind_oracle 17.03.16 16:04:46 MSK

Нет, хамам я юридические консультации сегодня проводить не хочу.
А про стандарты не хуже вас знаю.

Goury ★★★★★
(17.03.16 16:39:00 MSK)

Ответ на: комментарий от Goury 17.03.16 16:39:00 MSK

А про стандарты не хуже вас знаю.

Если бы это было так, то вы таких глупостей не писали бы. Только людей в заблуждение вводите.

blind_oracle ★★★★★
(17.03.16 16:51:01 MSK)

Ответ на: комментарий от blind_oracle 17.03.16 16:51:01 MSK

Аргументацию или в игнор

Goury ★★★★★
(17.03.16 17:09:52 MSK)

Ответ на: комментарий от Goury 17.03.16 17:09:52 MSK

Аргументацию чего? Вот тут написаны фантазии, к реальности не имеющие никакого отношения:

Может стандарт на проверку подтверждения DKIM ключа пока не утверждён, но для некоторых случаев это может оказаться крайне полезно.

Я на это указал, не более того.

blind_oracle ★★★★★
(17.03.16 18:51:50 MSK)

Ответ на: комментарий от blind_oracle 17.03.16 18:51:50 MSK

Значит у тебя ни ума ни фантазии нет чтобы эти «некоторые случаи» представить, а я типа ввожу в заблуждение кого-то?
Нет, этой демагогии я больше читать не хочу.

Goury ★★★★★
(17.03.16 20:47:21 MSK)