Author Topic: Опять сертификаты.  (Read 3711 times)

david50rus

  • Zen Apprentice
  • *
  • Posts: 6
  • Karma: +0/-0
    • View Profile
Опять сертификаты.
« on: November 22, 2018, 02:32:27 pm »
Привет Комрады!

Ребят всю башку себе сломал... инет весь перечитал... ничего не помогает.. может кто что посоветует?
Дано:
домен name.ru хостится на nic.ru почта на mail.ru - все работает все гут.

внутри организации:
роутер->сеть 1.1->Z6.0Dc->сеть 10.1 далее юзвери :)

на dc поднят домен с таким же именем как и снаружи. все хорошо. все работает. почта бегает.
при загрузке аутлука2016 вылезает сертификат... и как бы в принципе пофигу.. нажал ДА и работаешь дальше.. но как то хочется чтоб все хорошо было :)

там вот.. какие я только сертификаты не выпускал.. что только не делал.... пофигу. dc1.zentyal-server.lan и все и банан.

что сделать Комрады? подскажите всю башку себе сломил... про подписные сертификаты тоже не пойдет... то что про Апач написано... у меня тогда адреса будут не совпадать.. все равно ругаться будет..

как решить проблему?

luha

  • Zen Samurai
  • ****
  • Posts: 479
  • Karma: +36/-1
    • View Profile
Re: Опять сертификаты.
« Reply #1 on: November 23, 2018, 10:40:10 am »
Варианта всего два. Или в windows добавить самоподписанный зенчалом сертификат в локальное хранилище (надо сделать на всех компьютерах пользователей, можно через политики). Или в сам зенчал установить сертификат подписанный авторизированным центром.

Вот человек поделился опытом:
https://forum.zentyal.org/index.php/topic,30948.msg106106.html#msg106106

david50rus

  • Zen Apprentice
  • *
  • Posts: 6
  • Karma: +0/-0
    • View Profile
Re: Опять сертификаты.
« Reply #2 on: November 23, 2018, 11:12:14 am »
Варианта всего два. Или в windows добавить самоподписанный зенчалом сертификат в локальное хранилище (надо сделать на всех компьютерах пользователей, можно через политики). Или в сам зенчал установить сертификат подписанный авторизированным центром.

Вот человек поделился опытом:
https://forum.zentyal.org/index.php/topic,30948.msg106106.html#msg106106

Привет!
Дружище. Я уже какие только сертификаты не выпускал Зенчем... и как в описании написано. и по другому. и по своему... беру эти сертификаты и ставлю на комп в домене... в результате он мои сертификаты не видит.... а при коннекте аутлука к серверу берет сертификат с момента установки типа dc1.domen-zentyal.lan и привет. и как  я только свой сертификат не ставил... и куда только не пихал.... все одно. берет свой сертификат :(

я уже всю голову себе сломал....
и у других пользователей домена пробовал на своем компе
и заново конфигурацию почты пробовал... пофик..

на сервере смотрел... не могу нигде найти откуда он берет этот сертификат который он показывает....

ставить  сертификат внешний не получиться. у меня ip адреса не будут совпадать и я об этом писал.
спассибо за инструкцию, но эту тему я читал... пытался применить к себе, но не получиться у меня....

вариант только издать зенчем сертификат и каким то образом сунуть его аутлуку... как только ума не приложу...


luha

  • Zen Samurai
  • ****
  • Posts: 479
  • Karma: +36/-1
    • View Profile
Re: Опять сертификаты.
« Reply #3 on: November 23, 2018, 12:06:09 pm »
Сам зенчал выпускает только самоподписанные сертификаты и никакие другие выпустить не может по понятным причинам. Оутлук ругается на них т.к. не может проверить эти сертификаты через доверенные источники. Чтобы оутлук не ругался надо В ВИНДОУСЕ добавить сертификаты выпущенные зенчалом В ЛОКАЛЬНОЕ ХРАНИЛИЩЕ. Инструкцию как это сделать прошу нагуглить самостоятельно.

Если выпустить сертификат letsencrypt то он будет верифицироваться и ошибка пропадёт. Адрес ip не обязан совпадать и нигде в сертификате ip адреса не фигурируют. Принцип основан на том что на сервере устанавливается ключ, которым он подписывает и который никто не знает, а то, что этим ключём подписать можно без ключа проверить и так вот это и работает. Сертификат от letsencrypt заменяет собою сертификат который генерирует зенчал, можно тупо руками переименовать и подменить файлы на сервере, но лучше всётаки автоматизировать.

Альтернатива - отказаться от оутлука и попробовать Thunderbird. При первом подключении к серверу покажет окошко в котором сертификат можно добавить в доверенные одним кликом. Повторить процедуру для входящего и выходящего соединения.

david50rus

  • Zen Apprentice
  • *
  • Posts: 6
  • Karma: +0/-0
    • View Profile
Re: Опять сертификаты.
« Reply #4 on: November 23, 2018, 05:13:28 pm »
Сам зенчал выпускает только самоподписанные сертификаты и никакие другие выпустить не может по понятным причинам. Оутлук ругается на них т.к. не может проверить эти сертификаты через доверенные источники. Чтобы оутлук не ругался надо В ВИНДОУСЕ добавить сертификаты выпущенные зенчалом В ЛОКАЛЬНОЕ ХРАНИЛИЩЕ. Инструкцию как это сделать прошу нагуглить самостоятельно.

Если выпустить сертификат letsencrypt то он будет верифицироваться и ошибка пропадёт. Адрес ip не обязан совпадать и нигде в сертификате ip адреса не фигурируют. Принцип основан на том что на сервере устанавливается ключ, которым он подписывает и который никто не знает, а то, что этим ключём подписать можно без ключа проверить и так вот это и работает. Сертификат от letsencrypt заменяет собою сертификат который генерирует зенчал, можно тупо руками переименовать и подменить файлы на сервере, но лучше всётаки автоматизировать.

Альтернатива - отказаться от оутлука и попробовать Thunderbird. При первом подключении к серверу покажет окошко в котором сертификат можно добавить в доверенные одним кликом. Повторить процедуру для входящего и выходящего соединения.

Я объясняю.
Сертификат выпущенный Зенчелом я пихал куда угодно. он мне ругается на неправильное имя сервера....

второй пункт я думаю мне будет не приемлем...

тандербирд дает установить такой же кривой сертификат что и ставит аутлук.


luha

  • Zen Samurai
  • ****
  • Posts: 479
  • Karma: +36/-1
    • View Profile
Re: Опять сертификаты.
« Reply #5 on: November 26, 2018, 11:04:34 am »
Вы записывали сертификат в хранилище доверенных корневых сертификатов операционной системы виндоус? Не в оутлук. Оутлук обращается к хранилищу виндоус для проверки. Куда угодно не надо пихать, есть только одно место куда надо. Если в хранилище доверенных сертификатов виндоус записать как корневой сертификат любого, даже самого хакерского и вирусного сервера то всё в этой операционной системе начнёт ему доверять и переспрашивать не будет. Понимаете?

Вы пробовали в гугле искать как в виндоусе сертификаты добавлять? Это никак не относится к теме сервера на зенчал и этому форуму. Мне первой же ссылкой выдаёт близкое к теме, не понимаю что сложного в поиске набрать:
https://sbis.ru/help/ep/storage/root

Дальше буду бухтеть.

Проблема у вас возникла от того что вы сами не хотите сделать всё правильно - установить на сервер сертификат от доверенного центра. В итоге закономерно почтовые программы ругаются на недоверенный сертификат. Ок, не нужен вам доверенный сертификат, но потом вы опять сами не хотите сделать ничего чтобы приняло недоверенный! Ок, не разобрались, в гугле забанили, читать и вникать очень утомительно, можно понять. Но тогда почему вы отказываетесь использовать альтернативную почтовую программу, которая способна вам помочь и имеет простой механизм принятия сертификатов? Боюсь у меня закончились идеи, может кто-то ещё предложит вариант или вышлет вам волшебную палочку или хотябы бубен админский даст погонять.

Neustradamus

  • Zen Monk
  • **
  • Posts: 92
  • Karma: +0/-5
    • View Profile
Re: Опять сертификаты.
« Reply #6 on: January 18, 2021, 06:27:42 am »
Since my first ticket for Let's Encrypt support: https://github.com/zentyal/zentyal/issues/1836 (it has been closed by Zentyal Team).

I have created a second ticket for Let's Encrypt support which has been closed by Zentyal Team too.

I have created a third ticket for Let's Encrypt support, can you like, comment on it?
- https://github.com/zentyal/zentyal/issues/2015

luha

  • Zen Samurai
  • ****
  • Posts: 479
  • Karma: +36/-1
    • View Profile
Re: Опять сертификаты.
« Reply #7 on: January 18, 2021, 09:56:33 am »

Я объясняю.
Сертификат выпущенный Зенчелом я пихал куда угодно. он мне ругается на неправильное имя сервера....


Сейчас перечитал ветку ещё раз. Знаю что уже не актуально но сделаю одно дополнение. Не знаю почему раньше не сделал. ))

Почтовый сервер подразумевает что у него будет правильно настроено имя и зона DNS, поскольку в противном случае он не сможет работать как почтовый сервер. Должен быть настроен PTR, запись A и запись MX - это как минимум. У топикстартера ругается на неправильное имя сервера. Быть может дело вовсе было не в сертификате?