LINUX.ORG.RU
ФорумAdmin

Postfix + dovecot = Используемый сервер имеет...


0

0

Установил почтовый сервер. Согласно http://workaround.org/ispmail/etch вот этому мануалу

настроил почтовый клиент. И при каждом запуске клиента появляется сообщение. http://clip2net.com/clip/m23235/1270175939-clip-48kb.png Скриншот

Перерыв куча информации, стало примерно ясно, что я не правильно создал сертификаты.

openssl req -new -x509 -days 3650 -nodes -out /etc/ssl/certs/dovecot.pem \ -keyout /etc/ssl/private/dovecot.pem

The certificate and key will be created while you get asked a few questions:

Generating a 1024 bit RSA private key .........++++++ ............................++++++

writing new private key to '/etc/ssl/certs/dovecot.pem'

-----

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]:RU

State or Province Name (full name) [Some-State]:Russia

Locality Name (eg, city) []:Russia

Organization Name (eg, company) [Internet Widgits Pty Ltd]:name.moidomen.ru

Organizational Unit Name (eg, section) []:

Common Name (eg, YOUR name) []:name.moidomen.ru

Email Address []:postmaster@name.moidomen.ru

В настройках почтового клиента в качестве почтовых серверов указано. name.moidomen.ru

при соединении из Thunderbird Выходит окно, где можно посмотреть этот сертификат. Где указано, мол сертификат для домена name.moidomen.ru

Устанавливать сертификат на все клиентские машины (порядка 70 шт) не вариант.

Как можно поступить?

можно купить сертификат за деньги например у verisign. На то он и сертификат чтобы его кто попало не подписывал. Компании типа verisign чтобы попасть в список «доверенных поставщиков» наверняка микрософту проставилась.

pupok ★★ ()

Где-то должно быть по-идее галочка... игнорировать и не выдавать сообщение о сертификате ..

Tok ★★ ()
Ответ на: комментарий от Tok

> Где-то должно быть по-идее галочка...

ты не понял. ТС хочет чтобы для клиентов вообще всё прошло незаметно. Если уж лезть на каждую клиентскую машину — то лучше уж свой корневой сертификат установить чем тупо выключать предупреждения.

pupok ★★ ()
Ответ на: комментарий от ilovemicrosoft

> А как могу это сделать? может сделать липовый? или сказать что я некий центр сертификации?

когда ты говоришь

openssl req -new -x509 -days 3650 -nodes -out /etc/ssl/certs/dovecot.pem -keyout /etc/ssl/private/dovecot.pem
ты собственно и создаёшь само-подписанный сертификат, то есть сертифицированный тобой, то есть ты сам себе центр сертификации. Клиенты такому сертификату не доверяют, и справедливо. У всех клиентов есть список центров сертификации которым они доверяют, например verisign — тебя в этом списке нет. Ты можешь либо заплатить verisign денег чтобы он удостоверил что ты есть кто ты есть, либо сказать клиентам руками поставить твой сертификат чтобы они считал тебя заслуживающим доверия, либо сказать клиентам чтобы они игнорировали/отключили предупреждения о подозрительных сертификатах. Как поступить — решать тебе, единственный вариант который не потребует от клиентов никаких дополнительных действий — заплатить за сертификат.

pupok ★★ ()

ilovemicrosoft> Устанавливать сертификат на все клиентские машины (порядка 70 шт) не вариант.

Надо же, а тут виндо-тролли любят трясти энтерпрайзностью винды с ее групповыми политиками и легкостью администрирования большого кол-ва пользователей, а ты про какие-то жалкие 70 машин плачешься.

sdio ★★★★★ ()
Ответ на: комментарий от ilovemicrosoft

Создай CA для своего домена и подпиши им сертификат для *.example.org (а не для каждого сервисного имени). Один раз (по идее) клиентская машина добавит этот сертификат к себе в доверенные и больше не будет возмущаться.
Либо, как уже сказали, купи сертификат у какого-нибудь всеми любимого CA. Но это стоит денег и не малых.
Третьего не дано.

markevichus ★★★ ()
Ответ на: комментарий от markevichus

> Создай CA для своего домена и подпиши им сертификат для *.example.org

CA создаётся сам по себе, без относительности ни к какому домену. После заливки этого CA-сертификата на клиенты можно сертифицировать что угодно, например можно изготовить сертификат для https://www.google.com, устроить прозрачный прокси и снифить всю гугло-почту которые пользователи читают через броузер думая что раз уж они подключены к google по https, то их и прослушать уже нельзя :)

pupok ★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.