Здравствуйте.
у меня настроен courier с поддержкой ssl и задача отсылать клиентов, не имеющих подписаный сертификат собственным CA. Но по такой схеме из опробыванных мейлеров работает только мозила. В остальных случаях в maillog: peer did not return a certificate.
привожу подробное описание своих действий
1. создаю самоподписанный сертификат:
openssl req -new -nodes -keyout ca.pem -x509 -days 365 -out ca.pem -config openssl.conf
openssl.conf:
[ req ]
default_bits = 1024
encrypt_key = yes
distinguished_name = req_dn
x509_extensions = cert_type
prompt = no
[ req_dn ]
countryName = RU
stateOrProvinceName = M
localityName =Moscow
organizationName = corp
organizationalUnitName = CA server
commonName = mail.domain.ru [сервер конечно реальный]
[ cert_type ]
nsCertType = server
2.создаю запрос на клиентский сертификат:
openssl req -new -newkey rsa:1024 -nodes -keyout user1.key -subj /C=RU/ST=M/L=Moscow/O=corp/OU=mail/CN=user1 -out user1.csr
3.подписываю его:
openssl ca -config client.conf -in user1.csr -out user1.pem -batch
4.загоняю в p12 и всасываю в клиента.
pop3d-ssl:
---
SSLPORT=995
SSLADDRESS=0
SSLPIDFILE=/var/run/pop3d-ssl.pid
POP3DSSLSTART=NO
POP3_STARTTLS=YES
POP3_TLS_REQUIRED=0
COURIERTLS=/usr/lib/courier-imap/bin/couriertls
TLS_PROTOCOL=SSL3
TLS_STARTTLS_PROTOCOL=TLS1
TLS_CIPHER_LIST="ALL:!ADH:RC4+RSA:+SSLv2:@STRENGTH"
TLS_CERTFILE=/usr/lib/courier-imap/share/pop3d.pem
TLS_TRUSTCERTS=/usr/lib/courier-imap/share/certs
TLS_VERIFYPEER=REQUIREPEER
MAILDIRPATH=Maildir
---
Если TLS_VERIFYPEER=PEER, то все работает, но этот вариант не подходит.
кто косячит, я или баты с оутлуками, или еще какая причина?
бьюсь уже пару недель, мыслей никаких не осталось.
помогите пжлалуйста.
ps. апач+мод_ссл работают при этом на ура как с мозилой так и с ie.
Вариант для распечатки
OpenNET: Виртуальная конференция (Public)
on
09-Фев-05, 17:15 (MSK)
