Author Topic: Опять сертификаты.  (Read 518 times)

david50rus

  • Zen Apprentice
  • *
  • Posts: 6
  • Karma: +0/-0
    • View Profile
Опять сертификаты.
« on: November 22, 2018, 02:32:27 pm »
Привет Комрады!

Ребят всю башку себе сломал... инет весь перечитал... ничего не помогает.. может кто что посоветует?
Дано:
домен name.ru хостится на nic.ru почта на mail.ru - все работает все гут.

внутри организации:
роутер->сеть 1.1->Z6.0Dc->сеть 10.1 далее юзвери :)

на dc поднят домен с таким же именем как и снаружи. все хорошо. все работает. почта бегает.
при загрузке аутлука2016 вылезает сертификат... и как бы в принципе пофигу.. нажал ДА и работаешь дальше.. но как то хочется чтоб все хорошо было :)

там вот.. какие я только сертификаты не выпускал.. что только не делал.... пофигу. dc1.zentyal-server.lan и все и банан.

что сделать Комрады? подскажите всю башку себе сломил... про подписные сертификаты тоже не пойдет... то что про Апач написано... у меня тогда адреса будут не совпадать.. все равно ругаться будет..

как решить проблему?

luha

  • Zen Samurai
  • ****
  • Posts: 429
  • Karma: +31/-1
    • View Profile
Re: Опять сертификаты.
« Reply #1 on: November 23, 2018, 10:40:10 am »
Варианта всего два. Или в windows добавить самоподписанный зенчалом сертификат в локальное хранилище (надо сделать на всех компьютерах пользователей, можно через политики). Или в сам зенчал установить сертификат подписанный авторизированным центром.

Вот человек поделился опытом:
https://forum.zentyal.org/index.php/topic,30948.msg106106.html#msg106106

david50rus

  • Zen Apprentice
  • *
  • Posts: 6
  • Karma: +0/-0
    • View Profile
Re: Опять сертификаты.
« Reply #2 on: November 23, 2018, 11:12:14 am »
Варианта всего два. Или в windows добавить самоподписанный зенчалом сертификат в локальное хранилище (надо сделать на всех компьютерах пользователей, можно через политики). Или в сам зенчал установить сертификат подписанный авторизированным центром.

Вот человек поделился опытом:
https://forum.zentyal.org/index.php/topic,30948.msg106106.html#msg106106

Привет!
Дружище. Я уже какие только сертификаты не выпускал Зенчем... и как в описании написано. и по другому. и по своему... беру эти сертификаты и ставлю на комп в домене... в результате он мои сертификаты не видит.... а при коннекте аутлука к серверу берет сертификат с момента установки типа dc1.domen-zentyal.lan и привет. и как  я только свой сертификат не ставил... и куда только не пихал.... все одно. берет свой сертификат :(

я уже всю голову себе сломал....
и у других пользователей домена пробовал на своем компе
и заново конфигурацию почты пробовал... пофик..

на сервере смотрел... не могу нигде найти откуда он берет этот сертификат который он показывает....

ставить  сертификат внешний не получиться. у меня ip адреса не будут совпадать и я об этом писал.
спассибо за инструкцию, но эту тему я читал... пытался применить к себе, но не получиться у меня....

вариант только издать зенчем сертификат и каким то образом сунуть его аутлуку... как только ума не приложу...


luha

  • Zen Samurai
  • ****
  • Posts: 429
  • Karma: +31/-1
    • View Profile
Re: Опять сертификаты.
« Reply #3 on: November 23, 2018, 12:06:09 pm »
Сам зенчал выпускает только самоподписанные сертификаты и никакие другие выпустить не может по понятным причинам. Оутлук ругается на них т.к. не может проверить эти сертификаты через доверенные источники. Чтобы оутлук не ругался надо В ВИНДОУСЕ добавить сертификаты выпущенные зенчалом В ЛОКАЛЬНОЕ ХРАНИЛИЩЕ. Инструкцию как это сделать прошу нагуглить самостоятельно.

Если выпустить сертификат letsencrypt то он будет верифицироваться и ошибка пропадёт. Адрес ip не обязан совпадать и нигде в сертификате ip адреса не фигурируют. Принцип основан на том что на сервере устанавливается ключ, которым он подписывает и который никто не знает, а то, что этим ключём подписать можно без ключа проверить и так вот это и работает. Сертификат от letsencrypt заменяет собою сертификат который генерирует зенчал, можно тупо руками переименовать и подменить файлы на сервере, но лучше всётаки автоматизировать.

Альтернатива - отказаться от оутлука и попробовать Thunderbird. При первом подключении к серверу покажет окошко в котором сертификат можно добавить в доверенные одним кликом. Повторить процедуру для входящего и выходящего соединения.

david50rus

  • Zen Apprentice
  • *
  • Posts: 6
  • Karma: +0/-0
    • View Profile
Re: Опять сертификаты.
« Reply #4 on: November 23, 2018, 05:13:28 pm »
Сам зенчал выпускает только самоподписанные сертификаты и никакие другие выпустить не может по понятным причинам. Оутлук ругается на них т.к. не может проверить эти сертификаты через доверенные источники. Чтобы оутлук не ругался надо В ВИНДОУСЕ добавить сертификаты выпущенные зенчалом В ЛОКАЛЬНОЕ ХРАНИЛИЩЕ. Инструкцию как это сделать прошу нагуглить самостоятельно.

Если выпустить сертификат letsencrypt то он будет верифицироваться и ошибка пропадёт. Адрес ip не обязан совпадать и нигде в сертификате ip адреса не фигурируют. Принцип основан на том что на сервере устанавливается ключ, которым он подписывает и который никто не знает, а то, что этим ключём подписать можно без ключа проверить и так вот это и работает. Сертификат от letsencrypt заменяет собою сертификат который генерирует зенчал, можно тупо руками переименовать и подменить файлы на сервере, но лучше всётаки автоматизировать.

Альтернатива - отказаться от оутлука и попробовать Thunderbird. При первом подключении к серверу покажет окошко в котором сертификат можно добавить в доверенные одним кликом. Повторить процедуру для входящего и выходящего соединения.

Я объясняю.
Сертификат выпущенный Зенчелом я пихал куда угодно. он мне ругается на неправильное имя сервера....

второй пункт я думаю мне будет не приемлем...

тандербирд дает установить такой же кривой сертификат что и ставит аутлук.


luha

  • Zen Samurai
  • ****
  • Posts: 429
  • Karma: +31/-1
    • View Profile
Re: Опять сертификаты.
« Reply #5 on: November 26, 2018, 11:04:34 am »
Вы записывали сертификат в хранилище доверенных корневых сертификатов операционной системы виндоус? Не в оутлук. Оутлук обращается к хранилищу виндоус для проверки. Куда угодно не надо пихать, есть только одно место куда надо. Если в хранилище доверенных сертификатов виндоус записать как корневой сертификат любого, даже самого хакерского и вирусного сервера то всё в этой операционной системе начнёт ему доверять и переспрашивать не будет. Понимаете?

Вы пробовали в гугле искать как в виндоусе сертификаты добавлять? Это никак не относится к теме сервера на зенчал и этому форуму. Мне первой же ссылкой выдаёт близкое к теме, не понимаю что сложного в поиске набрать:
https://sbis.ru/help/ep/storage/root

Дальше буду бухтеть.

Проблема у вас возникла от того что вы сами не хотите сделать всё правильно - установить на сервер сертификат от доверенного центра. В итоге закономерно почтовые программы ругаются на недоверенный сертификат. Ок, не нужен вам доверенный сертификат, но потом вы опять сами не хотите сделать ничего чтобы приняло недоверенный! Ок, не разобрались, в гугле забанили, читать и вникать очень утомительно, можно понять. Но тогда почему вы отказываетесь использовать альтернативную почтовую программу, которая способна вам помочь и имеет простой механизм принятия сертификатов? Боюсь у меня закончились идеи, может кто-то ещё предложит вариант или вышлет вам волшебную палочку или хотябы бубен админский даст погонять.