LINUX.ORG.RU
ФорумAdmin

Вопрос от новичка про POP3S.


0

0

У меня на SUSE установлен ipop3s. По умолчанию он собран over SSL.
Я делаю по README.SUSE:
For TLS/SSL encrypted connections (you most likely want these as plain password authentication is only allowed for those) you have to install a certificate imapd.pem and/or ipop3d in /etc/ssl/certs. If you don't have a certificate you can generate a self-signed certificate with the following commands:
cd /etc/ssl/certs
openssl req -new -x509 -nodes -out ipop3d.pem -keyout ipop3d.pem
Перезапускаю xinetd.
Почтовый клиент TheBat, в нем все настроено на защищенное соединение.

Почему он при попытке забрать почту пишет:
04.03.2005, 20:55:46: FETCH - This certificate is self-issued.
04.03.2005, 20:55:46: FETCH - TLS handshake failure. Invalid server certificate (This certificate is not yet valid).

Но стоит мне проверить соединение на самом сервере:
openssl s_client -host host.dom.ru -port995
(при этом openssl отвечает: Verify returncode:18(self signed certificate))
далее обязательно
user some
pass pswd
quit
как на почтовом клиенте все нормализуется:

The Bat выдает предупреждение
04.03.2005, 20:56:33: FETCH - TLS handshake failure. Invalid server certificate (The CA Root certificate is not trusted because it is not in the Trusted Root CA address book).
и после нажатия кнопки "Add certificate" TheBat отрабатывает нормально и почту удается получить.

Причем если во время сессии openssl не давать команды user,pass,
то TheBat опять пишет "TLS handshake failure. Invalid server certificate (This certificate is not yet valid)."

Просто в доках нет такого, что после изменения сертификата тестирование соединения через openssl с командой USER обязательно.
Что я не так делаю?
И еще вопрос: почему не рекомендуется использовать самоподписанный сертификат?
Заранее спасибо.

anonymous

Re: Вопрос от новичка про POP3S.

потому что необходимо создавать root ca сертификат организации, его импортировать в почтовые приложения, и им подписывать клиентские сертификаты в том числе и приложений.

anonymous2 ★★★★★ ()

Re: Вопрос от новичка про POP3S.

а ты правильно заполнил поля при создании сертификата?

>И еще вопрос: почему не рекомендуется использовать самоподписанный сертификат?

потому что его подлинность ничем не доказана :) По нормальному, ты сертификат купить должен на свое имя, а программа клиента долна идти на сервер продавца и удостовериться, что ты - это ты.

fagot ★★★★★ ()
Ответ на: Re: Вопрос от новичка про POP3S. от fagot

Re: Вопрос от новичка про POP3S.

Думаю, правильно, пробовал и указывать все реальные данные, и оставлять значения по умолчанию,
там ведь главное, чтобы полное имя хоста было достоверным?
Про второй вопрос понятно, спасибо, с первым бы теперь разобраться :)
Странно, что стоит прогнать openssl s_client... со всеми причиндалами -
почту удается забрать,
а без запуска openssl s_client The Bat никак не отдает почту...

anonymous ()
Ответ на: Re: Вопрос от новичка про POP3S. от anonymous

Re: Вопрос от новичка про POP3S.

Ты только Батом соединяешся? По моим наблюдениям, он очень "трогательно" относится к сертификатам, были приценденты, когда он просто отказывался соеденятся с сервером сертификат которого ему не нравился. Аутлук и Фандерберд просто оповещали об этом спрашивая "Пофиг, нет???"

Попробуй другово клиента... Пока мысли только такие...

mDron ()

Re: Вопрос от новичка про POP3S.

Почти такая же ситуация. Только TheBat говорит "FETCH - Приветствие TLS не завершено. Недействительный сертификат сервера (Срок действия этого S/MIME сертификата пока еще не наступил)." И начинает получать почту только когда системная дата совпадет с датой окончания сертификата :(( С Аутглюками (экспресс и обычным)проблем нет.

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.