SSL POP3 funguje ale IMAP ne

[Aleš]

Zdravím,

na mailovém serveru (CentOS, Postfix, Dovecot, virt.users) mi po roce vypršely certifikáty, takže jsem provedl obnovu pomocí OpenSSL. Vygenerované certifikáty dovecot.pem jsem následně zkopíroval do /usr/share/ssl/private a /usr/share/ssl/private/certs a restartoval.

Stalo se však to, že pop3 spojení funguje krásně přes SSL, ale IMAP spojení mi v pošt. klientovi stále nabízí ke schválení starý, vypršený certifikát. Napadá vás, čím by to mohlo být? Jsou pro imap a pop3 zvlášť certifikáty? Na stránkách Dovecot jsem nic takového nenašel...

Díky předem za tipy

[Reklama]

[Aleš]

...teď jsem objevil další symptom - imap na portu 143 se zapnutým SSL funguje - nabídne správný certifikát. Na portu 993 však nabízí pořád starý certifikát.
Tzn. různé certifikáty pro různé porty???

[DgBd]

Tak hledej ještě chvíli a třeba objevíš, že ten certifikát není od imap démona, ale od nějakého jiného, třeba ssl tunelátoru.

zkus

Kód: [Vybrat]

# netstat -atpn | grep 993

a podívej se, který proces ten imap port drží

[Aleš]

Výsledek:

tcp        0      0 0.0.0.0:993                 0.0.0.0:*                   LISTEN      26146/dovecot       
tcp        0      0 :::993                      :::*                        LISTEN      26146/dovecot 

Co to znamená?

[Aleš]

...a taky mám ten starý certifikát na SMTP portu...
Zkoušel jsem na serveru hledat certifikáty, našel jsem certifikát pro apache, ftp a dovecot, všechny jsem aktualizoval, ale pořád žádná změna :-(

[Reklama]

[DgBd]

c_rehash ve správném adresáři?

[Aleš]

to nevím, nic takového jsem nenastavoval. Ani jsem nezjistil, k čemu to je... Tak mně napadá, nemůže v tom problému nějakou roli hrát firewall, za kterým mám ten mailserver v DMZ?

[DgBd]

c_rehash vyrobí nové hash symlinky na certifikáty, takže dotyčný program sáhne pro správný certifikát (možná). Firewall v tom žádnou roli nehraje, pokud nedělá port forwarding (nejlépe na jiný stroj).

[Lol Phirae]

Mnooo, začal bych tady, a pak případně pokračoval pátráním, jak smazat nakešované certifikáty v poštovním klientovi. 

[Aleš]

Mnooo, začal bych tady, a pak případně pokračoval pátráním, jak smazat nakešované certifikáty v poštovním klientovi. 

Díky za odkaz, zítra se tím prokoušu. V těch klientech to nebude, staré certifikáty jsem promazal, a jakmile jsou smazány, začne mi to právě při spojení nabízet opět ty staré...

[Aleš]

Tak jsem jsem to pročetl. Nefunguje to jak má. Zkoušením jsem ale zjistil, že příkaz:

Kód: [Vybrat]

openssl s_client -showcerts -connect localhost:993 vypíše správný certifikát

ovšem když dám místo localhost doménu, a nebo IP adresu, vypíše to chybu:

Kód: [Vybrat]

socket: Connection timed out
connect:errno=29
Tak já nevím, ale teď mi příjde, že certifikáty jsou OK, ale někde "cestou" mám nějakou botu...