Показано с 1 по 7 из 7

Тема: Ошибка склейки цепочки сертификатов Exim

  1. #1

    По умолчанию Ошибка склейки цепочки сертификатов Exim

    При замене сертификата Exim (через панель - Почтовые домены - SSL сертификат) получил глюк в виде ошибки отправки почты.
    После недолгих разбирательств выяснилось что панель неправильно склеивает сертификат.
    Лог exim пестрил ошибкой:

    Код:
    (SSL_CTX_use_certificate_chain_file file=/etc/exim/ssl/exim.crt): error:0906D066:PEM routines:PEM_read_bio:bad end line
    В файле /etc/exim/ssl/exim.crt мы получаем сертификат склеенный таким образом:

    Код:
    -----END CERTIFICATE----------BEGIN CERTIFICATE-----
    А сертификат и ca сертификат нужно склеивать, вот так:

    Код:
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----


    Когда вы уже научитесь качественно тестировать функционал, перед выпуском в продакшен?!!
    Задолбался ваши косяки выискивать и руками исправлять.
    ___________________

    CentOS 7
    ISPmanager Lite 5.90.0
    Последний раз редактировалось Pegas-x; 15.03.2017 в 21:54.

  2. #2
    Support team Аватар для Dasha
    Регистрация
    03.11.2011
    Сообщений
    4,621

    По умолчанию

    Здравствуйте. Да, действительно, об этой проблеме известно разработчикам, исправим. Приносим свои извинения за доставленные неудобства.

  3. #3

    По умолчанию

    К слову если кому понадобится, набросал скрипт замены сертификата по всем службам панели.
    Только пути свои пропишите, если у вас они отличные от моих...

    Код:
    #!/usr/bin/bash
    
    if [ -z "$1" ]
    then
        CRT="site.ru_le1"
    else
        CRT="$1"
    fi
    
    # Склеиваем crt и ca
    cp /var/www/httpd-cert/user/$CRT.crt /root/cert.crt
    cat /var/www/httpd-cert/user/$CRT.ca >> /root/cert.crt
    
    # Exim
    cat /root/cert.crt > /etc/exim/ssl/exim.crt
    cat /var/www/httpd-cert/user/$CRT.key > /etc/exim/ssl/exim.key
    systemctl restart exim.service
    
    # Dovecot
    cat /root/cert.crt > /etc/pki/dovecot/certs/dovecot.pem
    cat /var/www/httpd-cert/user/$CRT.key > /etc/pki/dovecot/private/dovecot.pem
    systemctl restart dovecot.service
    
    # Proftpd
    cat /root/cert.crt > /etc/pki/tls/certs/proftpd.crt.pem
    cat /var/www/httpd-cert/user/$CRT.key > /etc/pki/tls/certs/proftpd.key.pem
    systemctl restart proftpd.service
    
    # Ihttpd
    cat /root/cert.crt > /usr/local/mgr5/etc/panel.crtca
    cat /var/www/httpd-cert/user/$CRT.key > /usr/local/mgr5/etc/panel.key
    /usr/local/mgr5/sbin/ihttpd --restart
    
    # Чистим
    rm /root/cert.crt
    По крайней мере этот способ быстрее и надежнее, чем доверять панели
    Только внимательно проверьте пути к файлам и их названия у вас на сервере.

    P.S. Предложение разработчикам, сделайте замену сертификатов для всех служб одной кнопкой. К примеру в списке сертификатов сделать кнопку, при нажатии на которую, выбранный администратором сертификат, будет установлен в качестве основного для: Exim, Dovecot, Proftpd, ihttpd и они будут автоматом перезапущены. Сделать это не сложно, а жизнь облегчит.
    Последний раз редактировалось Pegas-x; 16.03.2017 в 22:27.

  4. #4
    Support team Аватар для Dasha
    Регистрация
    03.11.2011
    Сообщений
    4,621

    По умолчанию

    Не плохая идея. Зарегистрируйте на https://bugs.ispsystem.com/ , пожалуйста.

  5. #5

    По умолчанию

    Цитата Сообщение от Dasha Посмотреть сообщение
    Не плохая идея. Зарегистрируйте на https://bugs.ispsystem.com/ , пожалуйста.
    Не это вы сами, более убогого скрипта чем вы установили для вашей багзиллы, найти по моему невозможно...
    Там черт ногу сломит, лучше сами это сделайте (и скрипт багзиллы на нормальный поменяйте, тогда люди туда будут писать охотнее).

  6. #6
    Member
    Регистрация
    23.04.2015
    Сообщений
    31

    По умолчанию

    аналогичная проблема
    Код:
    2017-03-20 07:50:00 TLS error on connection from mail-yw0-f197.google.com [209.85.161.197] (SSL_CTX_use_certificate_chain_file file=/etc/exim/ssl/exim.crt): error:0906D066:PEM routines:PEM_read_bio:bad end line
    ispmanager-business.x86_64 5.95.4-5.el7.centos ispsystem-5.95

  7. #7
    Support team Аватар для Sedna
    Регистрация
    16.05.2014
    Сообщений
    1,557

    По умолчанию

    Исправлялось уже, судя по багтреку, если проблема у вас еще актуальна, напишите в поддержку со ссылкой на эту тему.
    Grammar Nazi

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •