Fórum Root.cz

Hlavní témata => Server => Téma založeno: Aleš 14. 01. 2012, 21:04:55

Název: SSL POP3 funguje ale IMAP ne
Přispěvatel: Aleš 14. 01. 2012, 21:04:55

Zdravím,

na mailovém serveru (CentOS, Postfix, Dovecot, virt.users) mi po roce vypršely certifikáty, takže jsem provedl obnovu pomocí OpenSSL. Vygenerované certifikáty dovecot.pem jsem následně zkopíroval do /usr/share/ssl/private a /usr/share/ssl/private/certs a restartoval.

Stalo se však to, že pop3 spojení funguje krásně přes SSL, ale IMAP spojení mi v pošt. klientovi stále nabízí ke schválení starý, vypršený certifikát. Napadá vás, čím by to mohlo být? Jsou pro imap a pop3 zvlášť certifikáty? Na stránkách Dovecot jsem nic takového nenašel...

Díky předem za tipy

Název: Re:SSL POP3 funguje ale IMAP ne
Přispěvatel: Aleš 14. 01. 2012, 22:16:08

...teď jsem objevil další symptom - imap na portu 143 se zapnutým SSL funguje - nabídne správný certifikát. Na portu 993 však nabízí pořád starý certifikát.
Tzn. různé certifikáty pro různé porty???

Název: Re:SSL POP3 funguje ale IMAP ne
Přispěvatel: DgBd 14. 01. 2012, 22:21:26

Tak hledej ještě chvíli a třeba objevíš, že ten certifikát není od imap démona, ale od nějakého jiného, třeba ssl tunelátoru.

zkus

Kód: [Vybrat]

# netstat -atpn | grep 993

a podívej se, který proces ten imap port drží

Název: Re:SSL POP3 funguje ale IMAP ne
Přispěvatel: Aleš 14. 01. 2012, 23:45:08

Výsledek:

tcp        0      0 0.0.0.0:993                 0.0.0.0:*                   LISTEN      26146/dovecot       
tcp        0      0 :::993                      :::*                        LISTEN      26146/dovecot 

Co to znamená?

Název: Re:SSL POP3 funguje ale IMAP ne
Přispěvatel: Aleš 14. 01. 2012, 23:53:35

...a taky mám ten starý certifikát na SMTP portu...
Zkoušel jsem na serveru hledat certifikáty, našel jsem certifikát pro apache, ftp a dovecot, všechny jsem aktualizoval, ale pořád žádná změna :-(

Název: Re:SSL POP3 funguje ale IMAP ne
Přispěvatel: DgBd 15. 01. 2012, 00:04:34

c_rehash ve správném adresáři?

Název: Re:SSL POP3 funguje ale IMAP ne
Přispěvatel: Aleš 15. 01. 2012, 14:18:57

to nevím, nic takového jsem nenastavoval. Ani jsem nezjistil, k čemu to je... Tak mně napadá, nemůže v tom problému nějakou roli hrát firewall, za kterým mám ten mailserver v DMZ?

Název: Re:SSL POP3 funguje ale IMAP ne
Přispěvatel: DgBd 15. 01. 2012, 18:31:27

c_rehash vyrobí nové hash symlinky na certifikáty, takže dotyčný program sáhne pro správný certifikát (možná). Firewall v tom žádnou roli nehraje, pokud nedělá port forwarding (nejlépe na jiný stroj).

Název: Re:SSL POP3 funguje ale IMAP ne
Přispěvatel: Lol Phirae 15. 01. 2012, 19:08:33

Mnooo, začal bych tady (http://www.cyberciti.biz/faq/test-ssl-certificates-diagnosis-ssl-certificate/), a pak případně pokračoval pátráním, jak smazat nakešované certifikáty v poštovním klientovi.  :D

Název: Re:SSL POP3 funguje ale IMAP ne
Přispěvatel: Aleš 15. 01. 2012, 22:24:56

Citace: Lol Phirae  15. 01. 2012, 19:08:33

Mnooo, začal bych tady (http://www.cyberciti.biz/faq/test-ssl-certificates-diagnosis-ssl-certificate/), a pak případně pokračoval pátráním, jak smazat nakešované certifikáty v poštovním klientovi.  :D

Díky za odkaz, zítra se tím prokoušu. V těch klientech to nebude, staré certifikáty jsem promazal, a jakmile jsou smazány, začne mi to právě při spojení nabízet opět ty staré...

Název: Re:SSL POP3 funguje ale IMAP ne
Přispěvatel: Aleš 16. 01. 2012, 13:39:01

Tak jsem jsem to pročetl. Nefunguje to jak má. Zkoušením jsem ale zjistil, že příkaz:

Kód: [Vybrat]

openssl s_client -showcerts -connect localhost:993 vypíše správný certifikát

ovšem když dám místo localhost doménu, a nebo IP adresu, vypíše to chybu:

Kód: [Vybrat]

socket: Connection timed out
connect:errno=29
Tak já nevím, ale teď mi příjde, že certifikáty jsou OK, ale někde "cestou" mám nějakou botu...