Показано с 1 по 2 из 2

Тема: Почта через TLS

  1. #1
    Member
    Регистрация
    13.06.2009
    Сообщений
    88

    Question Почта через TLS

    ISPmanager Lite 5.126.2-2017.11.17_19:37
    Debian 7.11 (x86_64)
    Dovecot 1:2.1.7-7+deb7u1, Exim 4.80-7+deb7u5, OpenDKIM 2.6.8-4, RoundCube 0.7.2-9+deb7u8, sieve 1:2.1.7-7+deb7u1

    В панели вручную внес настройки указанные в документации SSL-сертификаты для почтовых доменов в разделе "Настройка функциональности".

    Выпустил через панель Let's encrypt сертификат для домена xxxxx.ru
    В почтовом домене xxxxx.ru включил SSL и выбрал выпущенный сертификат.
    Проверил что создались необходимые файлы согласно разделу "Расположение сертификатов" приведенной выше инструкции.

    При подключении почтовой программой к серверу через TLS получаю следующий лог:
    Код:
    >18.11.2017, 00:17:31: FETCH - Свойства сертификата: 9427FD0A0B85D9A2, алгоритм: RSA (1024 бит), Действителен с: 24.04.2015 12:04:55, по: 21.04.2025 12:04:55, на хосты в кол-ве 1 шт.: srv03.
    >18.11.2017, 00:17:31: FETCH - Владелец: "XX", "XX", "XX", "XX", "XX", "srv03", "root@srv03.xxxxx.ru".
    >18.11.2017, 00:17:31: FETCH - Этот сертификат выдан самим собой.
    !18.11.2017, 00:17:31: FETCH - Приветствие TLS не завершено. Имя сервера  ("mail.xxxxx.ru") не соответствует сертификату.
    Понимаю, что вместо сертификата домена xxxxx.ru, выдается самоподписанный сертификат сервера (имя сервера srv03.xxxxx.ru).

    Подскажите где искать проблему? Как заставить сервер выдавать правильный сертификат?

  2. #2
    Member
    Регистрация
    13.06.2009
    Сообщений
    88

    По умолчанию

    Видимо проблема в отсутствии передачи SNI почтовой программой.
    https://wiki2.dovecot.org/SSL/DovecotConfiguration

    With client TLS SNI (Server Name Indication) support

    It is important to note that having multiple SSL certificates per IP will not be compatible with all clients, especially mobile ones. It is a TLS SNI limitation. See SSL/SNIClientSupport for list of clients known to (not) support SNI.

    local_name imap.example.org {
    ssl_cert = </etc/ssl/certs/imap.example.org.crt
    ssl_key = </etc/ssl/private/imap.example.org.key
    }
    local_name imap.example2.org {
    ssl_cert = </etc/ssl/certs/imap.example2.org.crt
    ssl_key = </etc/ssl/private/imap.example2.org.key
    }
    # ..etc..
    Проблему решил изменив в конфигурационных файлах dovecot и exim сертификаты сервера.

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •