openssl на стороне клиента. Что куда?

0

0

В General тишина, может тут поомгут?

Подкиньте ссылок, плз по общей архитектуре и организации SSL/CA/и т.п., а то что-то не соображается по манам совсем.

Разруливаю CA, сертификаты, ключи и т.п.

Есть сервер, там почта, жаббер. С помощью tinyca создал CA, сертификаты, ключи. Ключ и сертификат закинул на сервер, ткнул в них dovecot. В почтовом клиенте (seamonkey), добавил свой CA. Теперь ssl-подключение на imap/pop3 проходит идеально.

С жаббером (jabberd1.4) проблемы. Т.е. повторил те же шаги, при подключении клиент (psi 0.10) говорит - "сертификат <мой.домен> не прошел проверку на аутентичность. Причина: неправильный корневой сертификат". Я так понимаю, что libssl, которым пользуется psi не знает о моем свежесозданном CA (что и понятно). Но вот как теперь его добавить в систему?

Ссылка

←	Конфиг от squid2 в squid3

Прикол ssh конекта

→

Покури x.509 до полного просветления.

Если пишет, что неправильный корневой сертификат, то скорее всего psi его не видит.

Macil ★★★★★
(04.03.08 16:13:17 MSK)

P.S. Нашел в psi файл /usr/share/psi/certs/rootcert.xml, вписал туда свой сертификат, никакого эффекта не дало...

AngryElf ★★★★★
(04.03.08 16:13:34 MSK) автор топика

Ответ на: комментарий от Macil 04.03.08 16:13:17 MSK

Ага, покурю, пасиб.

AngryElf ★★★★★
(04.03.08 16:14:26 MSK) автор топика

Ссылка

Ответ на: комментарий от AngryElf 04.03.08 16:13:34 MSK

>вписал туда свой сертификат, никакого эффекта не дало.

А на серваке?

Macil ★★★★★
(04.03.08 17:03:10 MSK)

Ответ на: комментарий от Macil 04.03.08 17:03:10 MSK

На сервере ключ и сертификат есть (прописаны в конфиге jabber'а)

AngryElf ★★★★★
(04.03.08 21:18:49 MSK) автор топика

Ответ на: комментарий от AngryElf 04.03.08 21:18:49 MSK

<ssl>
<key ip='<ip сервера>'>/etc/jabber/jabber.pem</key>
</ssl>

Внутри jabber.pem:

-----BEGIN RSA PRIVATE KEY-----
многабукф
-----END RSA PRIVATE KEY-----
-----BEGIN CERTIFICATE-----
многабукф
-----END CERTIFICATE-----

На сервере ведь CA не нужно свой прописывать нигде?

AngryElf ★★★★★
(04.03.08 21:22:11 MSK) автор топика

Ответ на: комментарий от AngryElf 04.03.08 21:22:11 MSK

>На сервере ведь CA не нужно свой прописывать нигде?

Если самостоятельно не подхватывает, то нужно. Иначе как он клиентские сертификаты проверять-то будет?

Macil ★★★★★
(05.03.08 08:58:34 MSK)

Ответ на: комментарий от Macil 05.03.08 08:58:34 MSK

В смысле? Кто он? psi? Он на клиенте проверять его должен, как я понимаю. Получает с сервера сертификат и проверяет его подпись локальным CA. На сервере CA и прописывать-то негде...

AngryElf ★★★★★
(05.03.08 10:37:50 MSK) автор топика

Ответ на: комментарий от AngryElf 05.03.08 10:37:50 MSK

А, да, действительно не надо. У тебя же аутентификация клиентов не по сертификатам...

А так, единственное что приходит в голову, так то что у тебя неправильно указан домен в сертификате, или ты коннектишься по IP адресу.

Macil ★★★★★
(05.03.08 15:25:33 MSK)

Ответ на: комментарий от Macil 05.03.08 15:25:33 MSK

А и еще в догонку, у тебя сертификат точно имеет право представлять сервер?

Macil ★★★★★
(05.03.08 16:51:51 MSK)

Ответ на: комментарий от Macil 05.03.08 15:25:33 MSK

> у тебя неправильно указан домен в сертификате, или ты коннектишься по IP адресу.

Домен вроде правильно - domain.tld (без www). JID в клиенте указан как user@domain.tld. Коннектится по дефолту, без указания ip-хоста.

AngryElf ★★★★★
(05.03.08 21:35:12 MSK) автор топика

Ответ на: комментарий от Macil 05.03.08 16:51:51 MSK

> А и еще в догонку, у тебя сертификат точно имеет право представлять сервер?

Ой, а это как? :)

Можно в двух словах?

Просто с почтой всё нормально прошло, а жаббер не хочет...

Может какой клиент подскажешь, где с сертификатами по-проще? Или может для тестирования ssl-коннектов какая приблуда есть?

AngryElf ★★★★★
(05.03.08 21:36:32 MSK) автор топика

Ответ на: комментарий от AngryElf 05.03.08 21:35:12 MSK

Попробовал сделать сертификат с CN *.domain.tld - тот же эффект....

AngryElf ★★★★★
(06.03.08 01:53:33 MSK) автор топика

Ссылка

Ответ на: комментарий от AngryElf 05.03.08 21:36:32 MSK

>Ой, а это как? :)

В конфиге OpenSSL nsCertType = server

>Или может для тестирования ssl-коннектов какая приблуда есть?

man s_client, man s_server

Macil ★★★★★
(06.03.08 09:15:42 MSK)

Ответ на: комментарий от Macil 06.03.08 09:15:42 MSK

Спасибо, покручу...

AngryElf ★★★★★
(06.03.08 12:51:00 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Конфиг от squid2 в squid3

Security

Прикол ssh конекта

→

Похожие темы