URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 78531
[ Назад ]

Исходное сообщение
"postfix + sasl. Как заставить выдать клиентский сертификат?"

Отправлено Yuriy_S , 04-Фев-08 10:49 
Собственно сгенерил сертификаты для postfix-а следующими командами:

openssl  req -new -x509 -keyout cakey.pem -out cacert.pem -days 365

openssl  req -nodes -new -x509 -keyout smtpd.pem -out smtpd.pem -days 365

openssl genrsa -des3 -rand /etc/hosts -out smtpd.key 1024

openssl req -new -key smtpd.key -out smtpd.csr

openssl x509 -req -days 365 -in smtpd.csr -signkey smtpd.key -out smtpd.crt

openssl rsa -in smtpd.key -out smtpd.key.unencrypted


Запустил postfix. В логах ругается:

TLS server engine: cannot load CA data
Feb  3 04:05:42 mail pop3s[15663]: mystore: starting txn 2149946885
Feb  3 04:05:42 mail pop3s[15663]: mystore: committing txn 2149946885
Feb  3 04:05:42 mail pop3s[15663]: starttls: TLSv1 with cipher AES256-SHA (256/256 bits new) no authentication
Feb  3 04:05:42 mail pop3s[15663]: login: mycomp.host.ru [172.16.16.4] users LOGIN+TLS User logged in


Как это исправить? И как сделать так, что бы почтовый клиент только один раз выдавал запрос на "продолжить использование  этого сертификата" ?


Содержание

Сообщения в этом обсуждении
"postfix + sasl. Как заставить выдать клиентский сертификат?"
Отправлено PavelR , 04-Фев-08 16:59 

>Запустил postfix. В логах ругается:
>
> TLS server engine: cannot load CA data

Не наводит ни на какие мысли, а ?

>Feb  3 04:05:42 mail pop3s[15663]: mystore: starting txn 2149946885
>Feb  3 04:05:42 mail pop3s[15663]: mystore: committing txn 2149946885
>Feb  3 04:05:42 mail pop3s[15663]: starttls: TLSv1 with cipher AES256-SHA (256/256
>bits new) no authentication
>Feb  3 04:05:42 mail pop3s[15663]: login: mycomp.host.ru [172.16.16.4] users LOGIN+TLS User
>logged in
>

Если что, то этот лог не имеет никакого отношения к постфиксу.

>
>Как это исправить? И как сделать так, что бы почтовый клиент только
>один раз выдавал запрос на "продолжить использование  этого сертификата" ?
>

Прописать CA  в список доверенных СА в почтовом клиенте.