URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 62746
[ Назад ]

Исходное сообщение
"мультидоменный сертификат"

Отправлено Александр , 16-Дек-05 17:52 
как средствами openssl сделать мультидоменный сертификат?

Ситуация: есть почтовый сервер, принимает почту на два (или более) домена,
например domain1.net и domain2.net. Если сделать сертификат только на одно доменное имя, то для пользователей второго домена почтовый клиент будет верещать, что сертификат не соответствует доменому имени.
Я пробовал обьеденить два сертификата в один файл, но номер не прошел (почти не прошел - opera определяла, что сертификат составной, но вот другие клиенты, outlook и thunderbird, работают только по одному из них)

может кто знает решение этой проблемы


Содержание

Сообщения в этом обсуждении
"мультидоменный сертификат"
Отправлено lavr , 16-Дек-05 18:29 
>как средствами openssl сделать мультидоменный сертификат?
>
>Ситуация: есть почтовый сервер, принимает почту на два (или более) домена,
>например domain1.net и domain2.net. Если сделать сертификат только на одно доменное имя,
>то для пользователей второго домена почтовый клиент будет верещать, что сертификат
>не соответствует доменому имени.
>Я пробовал обьеденить два сертификата в один файл, но номер не прошел
>(почти не прошел - opera определяла, что сертификат составной, но вот
>другие клиенты, outlook и thunderbird, работают только по одному из них)
>
>
>может кто знает решение этой проблемы

секрет в изучении документации OpenSSL


"мультидоменный сертификат"
Отправлено Александр , 17-Дек-05 14:17 
>>как средствами openssl сделать мультидоменный сертификат?
>>
>>Ситуация: есть почтовый сервер, принимает почту на два (или более) домена,
то же мне советчик, блин

"мультидоменный сертификат"
Отправлено lavr , 17-Дек-05 17:26 
>>>как средствами openssl сделать мультидоменный сертификат?
>>>
>>>Ситуация: есть почтовый сервер, принимает почту на два (или более) домена,
>то же мне советчик, блин

еще один незнайка пополнил ряды воинствующих :(


"мультидоменный сертификат"
Отправлено DeadMustdie , 17-Дек-05 20:34 
>еще один незнайка пополнил ряды воинствующих :(

Если lavr знает решеньице, пусть поделится, а не ворчит. Поскольку меня в своё время вопрос интересовал, но ни черта не вышло, пришлось делать по сертификату на IP. О чём документация на OpenSSL и повествует.


"мультидоменный сертификат"
Отправлено toor99 , 18-Дек-05 16:06 
> О чём документация на OpenSSL и повествует.

Именно.


"мультидоменный сертификат"
Отправлено lavr , 18-Дек-05 17:25 
>>еще один незнайка пополнил ряды воинствующих :(
>
>Если lavr знает решеньице, пусть поделится, а не ворчит. Поскольку меня в

отправить к документации == ворчать?! Странно, те все те кто честно
читают документацию - ворчуны и пердуны... Интересное рассуждение, главное
из него можно и дальше выводы делать, неприятные :(

>своё время вопрос интересовал, но ни черта не вышло, пришлось делать
>по сертификату на IP. О чём документация на OpenSSL и повествует.
>

ну и все верно, только это для apache, подумать как это будет для
почты - не сложная задача, потому как есть такое слово hostname, это
наколка


"мультидоменный сертификат"
Отправлено DeadMustdie , 18-Дек-05 23:33 
>отправить к документации == ворчать?! Странно, те все те кто честно
>читают документацию - ворчуны и пердуны... Интересное рассуждение,
>главное из него можно и дальше выводы делать, неприятные :(

Под ворчанием подразумевалось следующее выражение:
  "еще один незнайка пополнил ряды воинствующих :( "

>ну и все верно, только это для apache, подумать как это будет
>для почты - не сложная задача, потому как есть такое слово
>hostname, это наколка

То бишь резюме - ни шиша другого не получится, единственный вариант:
один домен -> один сертификат.


"мультидоменный сертификат"
Отправлено iasb , 19-Дек-05 10:47 
>>отправить к документации == ворчать?! Странно, те все те кто честно
>>читают документацию - ворчуны и пердуны... Интересное рассуждение,
>>главное из него можно и дальше выводы делать, неприятные :(
>
>Под ворчанием подразумевалось следующее выражение:
>  "еще один незнайка пополнил ряды воинствующих :( "
>
>>ну и все верно, только это для apache, подумать как это будет
>>для почты - не сложная задача, потому как есть такое слово
>>hostname, это наколка
>
>То бишь резюме - ни шиша другого не получится, единственный вариант:
>один домен -> один сертификат.


есть 2 типа документации. Есть 2 типа людей. Откройте любой технический справочник 20-х-30-х годов (не надо крутить носом - не много поменялось в расчете ферм или металических конструкций, допустим) - там ясно и четко расписано что, куда, где и как. Откройте последние издававшиеся - там только адреса и телефоны организаций, к которым собрав бабло можно обратиться. Насколько я понимаю здесь общая конференция а не самореклама. Если нет желания отвечать по существу - то лучше не сотрясать воздух - толку все-равно ноль. Пивко здесь между столиками не разносят. Вопрос был задан весьма на уровне - далеко не приметив, доказывать задавшему вопрос  что он ламер - не тот случай.

Кто-то начинает, кто-то дествительно заклинился и не смог глянуть с другой стороны. Документация и в первом и во втором случае если она плохо написана - не особо поможет.


"мультидоменный сертификат"
Отправлено lavr , 19-Дек-05 11:02 
>>>отправить к документации == ворчать?! Странно, те все те кто честно
>>>читают документацию - ворчуны и пердуны... Интересное рассуждение,
>>>главное из него можно и дальше выводы делать, неприятные :(
>>
>>Под ворчанием подразумевалось следующее выражение:
>>  "еще один незнайка пополнил ряды воинствующих :( "
>>
>>>ну и все верно, только это для apache, подумать как это будет
>>>для почты - не сложная задача, потому как есть такое слово
>>>hostname, это наколка
>>
>>То бишь резюме - ни шиша другого не получится, единственный вариант:
>>один домен -> один сертификат.
>
>
>есть 2 типа документации. Есть 2 типа людей. Откройте любой технический справочник
>20-х-30-х годов (не надо крутить носом - не много поменялось в
>расчете ферм или металических конструкций, допустим) - там ясно и четко
>расписано что, куда, где и как. Откройте последние издававшиеся - там
>только адреса и телефоны организаций, к которым собрав бабло можно обратиться.
>Насколько я понимаю здесь общая конференция а не самореклама. Если нет
>желания отвечать по существу - то лучше не сотрясать воздух -
>толку все-равно ноль. Пивко здесь между столиками не разносят. Вопрос был
>задан весьма на уровне - далеко не приметив, доказывать задавшему вопрос
> что он ламер - не тот случай.
>
>Кто-то начинает, кто-то дествительно заклинился и не смог глянуть с другой стороны.
>Документация и в первом и во втором случае если она плохо
>написана - не особо поможет.

так где ответ то, слов выше - ну оченна много...

В случае virtual-mail domains, сертификат используется ОДИН и генерится
для hostname. Ну оченна сложная задачища


"мультидоменный сертификат"
Отправлено iasb , 19-Дек-05 11:13 

>
>В случае virtual-mail domains, сертификат используется ОДИН и генерится
>для hostname. Ну оченна сложная задачища

а что, в первом ответе  ЭТОТ ОТВЕТ НЕЛЬЗЯ БЫЛО ДАТЬ ???

Это именно ясный пример 2-х подходов - мутить воду и говорить по существу.


"мультидоменный сертификат"
Отправлено lavr , 19-Дек-05 12:13 
>
>>
>>В случае virtual-mail domains, сертификат используется ОДИН и генерится
>>для hostname. Ну оченна сложная задачища
>
>а что, в первом ответе  ЭТОТ ОТВЕТ НЕЛЬЗЯ БЫЛО ДАТЬ ???
>
>
>Это именно ясный пример 2-х подходов - мутить воду и говорить по
>существу.

это прозрачный пример болтунов и лентяев с отмазками о мутной документации, головной боли, поноса и тд и тп

Даже после конкретного ответа - человек так и не понял, еще нужны
комментарии?

PS. Ничего личного.


"мультидоменный сертификат"
Отправлено Dr. Nebula , 25-Дек-05 23:21 

>а что, в первом ответе  ЭТОТ ОТВЕТ НЕЛЬЗЯ БЫЛО ДАТЬ ???

1. 2Lavr - я рад что ты вернулся, какое то время тебя не было видно
2. 2остальные :) - в первом варианте был ответ для думающих. Никогда готовое решение и знание поднесенное на тарелочке не осядет в голове. Только то что было найдено и понято в результате деятельности коры головного мозга :)
Готовые рецепты стоит например стоит просить только в случае жесткого цейтнота, когда нет времени на чтение и осознание. Но никогда готовые решения не заменят знания, хотя бы потому что нет двух одинаковых серверов, и что отлично работает на одном, не будет так же работать на другом.

P.S. сорри за офтопик


"мультидоменный сертификат"
Отправлено DeadMustdie , 25-Дек-05 23:29 
>2. 2остальные :) - в первом варианте был ответ для думающих. Никогда
>готовое решение и знание поднесенное на тарелочке не осядет в голове.

В первом варианте было раздувание щёк. Сам иногда грешен, потому
перепутать ответ и щёкодуйство не могу.

>Только то что было найдено и понято в результате деятельности коры
>головного мозга :)
>Готовые рецепты стоит например стоит просить только в случае жесткого
>цейтнота, когда нет времени на чтение и осознание. Но никогда готовые

При таком подходе на практически любой вопрос следует отвечать просто
и коротко: RTFM. Только форумы придуманы для организации обмена опытом,
а не в качестве коллекции вопросов без ответа.

>решения не заменят знания, хотя бы потому что нет двух одинаковых
>серверов, и что отлично работает на одном, не будет так же работать на
>другом.

Основная сила софта - унификация. Так что пассаж про то, что все сервера
разные, отнесём к лирике. Если где-то кажется, что завелась нечистая
сила, значит, что-то недоработали либо админы, либо программисты.

>P.S. сорри за офтопик

Присоединяюсь ;)


"мультидоменный сертификат"
Отправлено Александр , 19-Дек-05 12:06 
>
>В случае virtual-mail domains, сертификат используется ОДИН и генерится
>для hostname. Ну оченна сложная задачища

одно из двух: или я неправильно сформулировал вопрос, или меня неправильно поняли.
Я имел ввиду следующую ситуацию: хост имеет два доменных имени (domain1.net и domain2.net), соответственно принимает почту для пользователей этих двух доменов. Собственно с почтой проблем нет, все работает.
Теперь я хочу заставить пользователей работать по безопасному протоколу (imaps например). Мне нужно сделать так, чтобы пользователь первого домена у себя в настройках почтового клиента в качестве почтового сервера прописал domain1.net, а пользователь второго домена - domain2.net. Если я сгенерирую сертификат на одно доменное имя, то при подключении пользователя второго домена почтовый клиент будет выдавать сообщение о несоответствии доменного имени. Хотелось бы этого избежать.
И сделать сертификат, содержащий оба доменных имени. Для этого похоже надо лезть в openssl.cnf, но что там нужно сделать конкретно, в openssl.txt что-то не по глазам:(
А в поисковых системах - сплошная реклама мультидоменных хостингов


"мультидоменный сертификат"
Отправлено shsm , 20-Дек-05 01:04 
>>
>>В случае virtual-mail domains, сертификат используется ОДИН и генерится
>>для hostname. Ну оченна сложная задачища
>
>одно из двух: или я неправильно сформулировал вопрос, или меня неправильно поняли.
>
>Я имел ввиду следующую ситуацию: хост имеет два доменных имени (domain1.net и
>domain2.net), соответственно принимает почту для пользователей этих двух доменов. Собственно с
>почтой проблем нет, все работает.
>Теперь я хочу заставить пользователей работать по безопасному протоколу (imaps например). Мне
>нужно сделать так, чтобы пользователь первого домена у себя в настройках
>почтового клиента в качестве почтового сервера прописал domain1.net, а пользователь второго
>домена - domain2.net. Если я сгенерирую сертификат на одно доменное имя,
>то при подключении пользователя второго домена почтовый клиент будет выдавать сообщение
>о несоответствии доменного имени. Хотелось бы этого избежать.
>И сделать сертификат, содержащий оба доменных имени. Для этого похоже надо лезть
>в openssl.cnf, но что там нужно сделать конкретно, в openssl.txt что-то
>не по глазам:(
>А в поисковых системах - сплошная реклама мультидоменных хостингов

Делаем cnf файл вида -
[ v3_req ]
subjectAltName = email:copy,DNS:host.dom1.com,DNS:host.dom2.com

И при генерации реквеста вызываем этой файл так:
-extensions v3_req -extfile name.cnf


"мультидоменный сертификат"
Отправлено dsl , 20-Дек-05 03:47 
>Делаем cnf файл вида -
>[ v3_req ]
>subjectAltName = email:copy,DNS:host.dom1.com,DNS:host.dom2.com
>
>И при генерации реквеста вызываем этой файл так:
>-extensions v3_req -extfile name.cnf


тема учень интересна..
в дополнение если добавляется еще один домен, то придется перегенерировать сертификат!
или все таки  ситуация с ip или hostname спасает?


"мультидоменный сертификат"
Отправлено lavr , 20-Дек-05 11:40 
>>Делаем cnf файл вида -
>>[ v3_req ]
>>subjectAltName = email:copy,DNS:host.dom1.com,DNS:host.dom2.com
>>
>>И при генерации реквеста вызываем этой файл так:
>>-extensions v3_req -extfile name.cnf
>
>
>тема учень интересна..
>в дополнение если добавляется еще один домен, то придется перегенерировать сертификат!

придется, про subjectAltName я умолчал потому что не помню с какой версии
openssl появилась возможность ее использования, ну и чаще всего ее
используют для shared сертификатов в Apache, появилась она не так уж давно.

>или все таки  ситуация с ip или hostname спасает?

ситуация с ip == hostname - на все случаи жизни, объясняется просто,
основной интерфейс --привязка(bind)--> основной ip, imaps/pop3s обычно
слушают *.*, но поднимаются на чем - правильно, на машине у которой
конкретный hostname и он есть основной: cat /etc/hosts, ifconfig
Соответственно как генерить сертификат? Правильно - использовать для
CN=hostname (понятно что в FQDN формате). Все и не парится ни с какими
virtual-domains & virtual-hosts. Есть понятие - trusted-доверенный
сертификат, в этом основная идея, мало того, в почтовых клиентах
можно использовать no-validate-cert.
Есть ТЕХНОЛОГИЯ, в рамках технологии и нужно действовать.


"мультидоменный сертификат"
Отправлено Anonim , 23-Дек-05 08:16 

>
>Делаем cnf файл вида -
>[ v3_req ]
>subjectAltName = email:copy,DNS:host.dom1.com,DNS:host.dom2.com
>
>И при генерации реквеста вызываем этой файл так:
>-extensions v3_req -extfile name.cnf

OK, все получилось

subjectAltName можно вставить непосредственно в openssl.cnf в секцию [ usr_cert ]

а в качестве commonName можно написать все что угодно


"мультидоменный сертификат"
Отправлено toor99 , 18-Дек-05 16:05 
>>>как средствами openssl сделать мультидоменный сертификат?
>>>
>>>Ситуация: есть почтовый сервер, принимает почту на два (или более) домена,
>то же мне советчик, блин

Извини, чему-то можно научить того, кто этого сам хочет. А кто желает чтобы ему разжевали и в рот положили, как правило, идёт прямиком или в платный саппорт, или на три волшебные руны.


"мультидоменный сертификат"
Отправлено lavr , 18-Дек-05 17:18 
>>>>как средствами openssl сделать мультидоменный сертификат?
>>>>
>>>>Ситуация: есть почтовый сервер, принимает почту на два (или более) домена,
>>то же мне советчик, блин
>
>Извини, чему-то можно научить того, кто этого сам хочет. А кто желает
>чтобы ему разжевали и в рот положили, как правило, идёт прямиком
>или в платный саппорт, или на три волшебные руны.

угу, поводом отправления к документации, был сам вопрос: МУЛЬТИДОМЕННЫЙ
сертификат. Ключевое слово выделено, сам вопрос говорит о том что
на документацию даже не смотрели, про google уже и речи нет.
Если бы не было высказывания: "то же мне советчик, блин" - я бы пояснил
если человек НУ НЕ МОЖЕТ НАЙТИ или додуматься, понять.


"мультидоменный сертификат"
Отправлено DustpaN , 19-Дек-05 10:31 
http://www.postfix.org/SASL_README.html

"мультидоменный сертификат"
Отправлено Александр , 23-Май-06 12:27 
>как средствами openssl сделать мультидоменный сертификат?
>
>Ситуация: есть почтовый сервер, принимает почту на два (или более) домена,
>например domain1.net и domain2.net. Если сделать сертификат только на одно доменное имя,
>то для пользователей второго домена почтовый клиент будет верещать, что сертификат
>не соответствует доменому имени.
>Я пробовал обьеденить два сертификата в один файл, но номер не прошел
>(почти не прошел - opera определяла, что сертификат составной, но вот
>другие клиенты, outlook и thunderbird, работают только по одному из них)
>
>
>может кто знает решение этой проблемы


Все оказалось очень просто!!!!
правильное название этого дела: multiline policy!

делаем так:

0.CN=domain1.net
1.CN=domain2.net
2.CN=192.168.1.1
3.CN=192.168.0.1
....
(и сколько еще там...)

ВСЕ!!!