URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 72542
[ Назад ]

Исходное сообщение
"Сертификат ssl привязка к имени сервера."
Отправлено varran , 28-Фев-07 11:38

Добрый день!
Столкнулся с такой проблемой:
Имеется почтовый сервер postfix + courrier imap (CentOS 4.3) ip 10.52.0.200
Для внешних сетей использую TLS. Сертификат создавал посредством mkpop3cert входящим в courrier.
Сервер в сертификате прописан post.nad.nnov.ru
DNS запись post.nad.nnov.ru ссылается на 212.92.xxx.yyy

Почтовый сервер сидит за cisco адрес 212.92.xxx.yyy - это DSL интерфейс роутера.
соответсвенно cisco мэпит все tcp соединения приходящие на 212.92.xxx.yyy порты 25,110
на 10.52.0.200
Все бы хорошо, но имеется еще один интерфейс так же заведенный на cisco 10.52.254.253 - это радиоканал, который тоже очень хотелось бы шифровать TLS.
cisco все соединения на 10.52.254.253 порты 25,110 также мэпит на 10.52.0.200
В результате, если я пытаюсь работать через TLS из радиосети, в качестве почтового сервера указав в качестве pop3 и smtp 10.52.254.253 , получаю ошибку, имя сервера не соответсвует серверу в сертификате. Указать в качестве сервера post.nad.nnov.ru не могу, т.к. этот адрес не смаршрутизируется внутри радиосети.
С хостов, которые работают через интернет все живет хорошо.
Как мне обойти этот трабл? Либо другой сертификат, либо что то еще?

Содержание

Сертификат ssl привязка к имени сервера.,ekc, 11:44 , 28-Фев-07
- Сертификат ssl привязка к имени сервера.,varran, 16:57 , 28-Фев-07
  - Сертификат ssl привязка к имени сервера.,varran, 18:25 , 28-Фев-07

Сообщения в этом обсуждении

"Сертификат ssl привязка к имени сервера."
Отправлено ekc , 28-Фев-07 11:44

> Добрый день!
> Столкнулся с такой проблемой:
>
> Имеется почтовый сервер postfix + courrier imap (CentOS 4.3) ip 10.52.0.200
>
> Для внешних сетей использую TLS. Сертификат создавал посредством mkpop3cert входящим в
>courrier.
> Сервер в сертификате прописан post.nad.nnov.ru
> DNS запись post.nad.nnov.ru ссылается на 212.92.xxx.yyy
>
> Почтовый сервер сидит за cisco адрес 212.92.xxx.yyy - это DSL интерфейс
>роутера.
>соответсвенно cisco мэпит все tcp соединения приходящие на 212.92.xxx.yyy порты 25,110
>на 10.52.0.200
>
> Все бы хорошо, но имеется еще один интерфейс так же заведенный
>на cisco 10.52.254.253 - это радиоканал, который тоже очень хотелось бы
>шифровать TLS.
> cisco все соединения на 10.52.254.253 порты 25,110 также мэпит на 10.52.0.200
>
>
> В результате, если я пытаюсь работать через TLS из радиосети, в
>качестве почтового сервера указав в качестве pop3 и smtp 10.52.254.253 ,
>получаю ошибку, имя сервера не соответсвует серверу в сертификате. Указать в
>качестве сервера post.nad.nnov.ru не могу, т.к. этот адрес не смаршрутизируется внутри
>радиосети.
> С хостов, которые работают через интернет все живет хорошо.
>
> Как мне обойти этот трабл? Либо другой сертификат, либо что то
>еще?
man openssl на предмет subjectAltname (или google).

"Сертификат ssl привязка к имени сервера."
Отправлено varran , 28-Фев-07 16:57

>> Добрый день!
>> Столкнулся с такой проблемой:
>>
>> Имеется почтовый сервер postfix + courrier imap (CentOS 4.3) ip 10.52.0.200
>>
>> Для внешних сетей использую TLS. Сертификат создавал посредством mkpop3cert входящим в
>>courrier.
>> Сервер в сертификате прописан post.nad.nnov.ru
>> DNS запись post.nad.nnov.ru ссылается на 212.92.xxx.yyy
>>
>> Почтовый сервер сидит за cisco адрес 212.92.xxx.yyy - это DSL интерфейс
>>роутера.
>>соответсвенно cisco мэпит все tcp соединения приходящие на 212.92.xxx.yyy порты 25,110
>>на 10.52.0.200
>>
>> Все бы хорошо, но имеется еще один интерфейс так же заведенный
>>на cisco 10.52.254.253 - это радиоканал, который тоже очень хотелось бы
>>шифровать TLS.
>> cisco все соединения на 10.52.254.253 порты 25,110 также мэпит на 10.52.0.200
>>
>>
>> В результате, если я пытаюсь работать через TLS из радиосети, в
>>качестве почтового сервера указав в качестве pop3 и smtp 10.52.254.253 ,
>>получаю ошибку, имя сервера не соответсвует серверу в сертификате. Указать в
>>качестве сервера post.nad.nnov.ru не могу, т.к. этот адрес не смаршрутизируется внутри
>>радиосети.
>> С хостов, которые работают через интернет все живет хорошо.
>>
>> Как мне обойти этот трабл? Либо другой сертификат, либо что то
>>еще?
>
>man openssl на предмет subjectAltname (или google).
Спасибо направление видимо то что надо, но с его применением я что то подзапутался.

"Сертификат ssl привязка к имени сервера."
Отправлено varran , 28-Фев-07 18:25

Так и не понял правильно ли делал.
Добавил в файл секцию [ usr_cert ], получил вот такой файл. Но после генерации postfix его вроде как не подхватывает. Т.е. я полученный файл переименовал, указывал его в main.cf и делал postfix reload
генерировал с такой конфигурацией.
RANDFILE = /usr/local/courier-imap/share/pop3d.rand
[ req ]
default_bits = 4024
encrypt_key = yes
distinguished_name = req_dn
x509_extensions = cert_type
prompt = no
[ req_dn ]
C=ru
ST=ch
L=N.Novgorod
O=Courier Mail Server
OU=Automatically-generated POP3 SSL key
CN=webmail.nad.nnov.ru
emailAddress=postmaster@nad.nnov.ru
[ usr_cert]
subjectAltName=CN:pss.nad.nnov.ru
[ cert_type ]
nsCertType = server