URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 1855
[ Назад ]

Исходное сообщение
"Innd & SSL проблема опознания сертификата"
Отправлено SergeySharov , 23-Янв-05 23:10

Поднял nnrpd из пакета innd. Генерю самоподписанный сертификат. Nnrpd на Linux работает прекрасно, загружаю этот сертификат в Outlook 6, всё в порядке - он падает в Trusted Root Cert... , только во время работы с новостями выдаётся ошибка опознания сертификата. Если я соглашаюсь использовать непроверенный сертификат, то связь устанавливается и новости читаются под SSL.
Как я только не изголялся. Проблема в том, что в M$ не видно никаких логов и определить почему не подходит сертификат я не могу, хотя сервер nnrpd сертификат использует.
Может он должен быть какого-то определённого формата, хотя если бы он не понимал формат сертификата, который я ему сую, то не загрузил.
Странно, что серваку то сертификат подходит, и его же я подгружаю в Outlook.
Помогите, в чём может быть дело.

Содержание

Innd & SSL проблема опознания сертификата,Yorik, 23:23 , 23-Янв-05
- Innd & SSL проблема опознания сертификата,SergeySharov, 23:47 , 23-Янв-05
  - Innd & SSL проблема опознания сертификата,Yorik, 00:27 , 24-Янв-05
    - Innd & SSL проблема опознания сертификата,SergeySharov, 20:40 , 24-Янв-05
  - Innd & SSL проблема опознания сертификата,Yorik, 00:36 , 24-Янв-05
  - Innd & SSL проблема опознания сертификата,Yorik, 00:42 , 24-Янв-05
  - Innd & SSL проблема опознания сертификата,Xela, 15:17 , 24-Янв-05
    - Innd & SSL проблема опознания сертификата,SergeySharov, 20:46 , 24-Янв-05

Сообщения в этом обсуждении

"Innd & SSL проблема опознания сертификата"
Отправлено Yorik , 23-Янв-05 23:23

Mozhno podrobnee o sertifikatah. V outlooke ispol'zuetsja pkcs12(eto i private key i sertifikat), lu4she esli on podpisan CA kotoryi tozhe nahoditsja v Trusted Root Cert. To4nee mogu rasskazat' esli uznaju bol'she o sertifikate kotoryi pytaeshsja ispol'zovat'.

"Innd & SSL проблема опознания сертификата"
Отправлено SergeySharov , 23-Янв-05 23:47

>Mozhno podrobnee o sertifikatah. V outlooke ispol'zuetsja pkcs12(eto i private key i
>sertifikat), lu4she esli on podpisan CA kotoryi tozhe nahoditsja v Trusted
>Root Cert. To4nee mogu rasskazat' esli uznaju bol'she o sertifikate kotoryi
>pytaeshsja ispol'zovat'.
nnrpd использует незашифрованный ключ и сертификат, для простоты прошу помочь разобраться с самоподписанным сертификатом
# openssl req -new -x509 -nodes -out cert.crt -keyout cert.key
получаю незашифрованный ключ и самоподписанный сертификат.
С сертификатом ничего не делаю и загружаю в outlook. Он его принимает, также принимает его и nnrpd. ТОлько во время связи опознания не происходит

"Innd & SSL проблема опознания сертификата"
Отправлено Yorik , 24-Янв-05 00:27

openssl req -new -x509 -nodes -out cert.crt -keyout cert.key
ne vozvrasaet zapros na podpis' sertifikata. dalee sledujet vypolnit' sledujusee:
openssl ca -notext -in cert.pem -out certSign.pem
(da sdes' emu priidjetsja zadat' fail configurazii, esli net svoego ja mogu kinut' vpolne rabo4ii po po4te)
dalee esli neobhodimo sozdat' X509 sertifikat, to:
openssl x509 -in certSign.pem -outform der -out x509cert.der
no ja by posovetoval sdelat' pkcs12:
openssl pkcs12 -export -inkey pub-sec-key.pem -out cert.p12 -in certSign.pem

budut voprosy, pishi na 5467090

"Innd & SSL проблема опознания сертификата"
Отправлено SergeySharov , 24-Янв-05 20:40

Огромное спасибо за то, что откликнулись на мою проблему
>openssl req -new -x509 -nodes -out cert.crt -keyout cert.key
>ne vozvrasaet zapros na podpis' sertifikata. dalee sledujet vypolnit' sledujusee:
Бился я с этим, дня 3 в общей сложности, а сегодня на работе удалось увидеть ошибку в outlоok. Видимо из-за того, что на работе W2К пропатченная то ошибка приобрела человеческое лицо Ж:).
А именно "CN не найдено".
Ошибка заключалась в том, что outlook искал сертификат, по имени news серовера, которое находилось соответственно в свойствах уч.записи. И "естественно" имело другое название.
После синхронизации CN сертификата и имени в уч.записи всё заработало!
>no ja by posovetoval sdelat' pkcs12:
Кстати сертификаты серверов, доверительных и промежуточных цетров у меня прекрасно принимаются в outlook и без перевода в pkcs12. Просто переименовываю в crt или cer, а иногда и просто из pem. Главное как я понял, не принимаются совместные файли - когда ключ и сертификат в одном. Убираешь ключ и сертификат грузится.
>budut voprosy, pishi na 5467090
1) Я редковато бываю в инете и поэтому не в курсе, а что такое 54677090 :) ?
2) Вы наверное далеко сидите ( видно по отсутствию 8 бита) ?
Огромное спасибо за помощь.
Мой emai sharodse@inbox.ru ICQ#162270322

"Innd & SSL проблема опознания сертификата"
Отправлено Yorik , 24-Янв-05 00:36

Izvinjajus', nepravil'no uvidel, kone4no:
openssl req -new -x509 -days 3650 -config $CA_CONFIG -key ca.key -out ca.crt
sam podpisyvaet sertifikat.
Prosto poprobui sdelat' iz nego pkcs12 i vstavit' v Outlook, da, samoe glavnoje, posmotri, 4to tvoi sertifikat razreshaet delat'

"Innd & SSL проблема опознания сертификата"
Отправлено Yorik , 24-Янв-05 00:42

Tol'ko 4to proveril svoi, posmotri, est' li v opisanie sertifikata 4to to vrode:
This certificate has been verified for the following uses:
SSL Client Certificate
...
...
...

"Innd & SSL проблема опознания сертификата"
Отправлено Xela , 24-Янв-05 15:17

проверь Common Name сертификата. Оно должно быть равно имени хоста к которому поизводится подключение.

"Innd & SSL проблема опознания сертификата"
Отправлено SergeySharov , 24-Янв-05 20:46

>проверь Common Name сертификата. Оно должно быть равно имени хоста к которому
>поизводится подключение.
Вы оказались совершенно правы.
Просто это моя первая попытся работы с SSL и сертификатами и поэтому я этого не знал.
Спасибо огромное за помощь.