Показано с 1 по 9 из 9

Тема: Root Certificate проблема

  1. #1
    Alya
    Alya вне форума
    Участник
    Регистрация
    27.03.2005
    Сообщений
    24

    Root Certificate проблема

    Когда я проверяю почту на одном из серверов, появляется сообщение "The server didn't provide a root certificate during the session, and there is no corresponding root certificate in your address book".

    Я скачала Root Certificate и импортировала его в Trusted Root CA Address Book. Это не помогло - Бат не использует этот сертификат дтя TLS соединений.

    В Trusted Root CA Address Book, в "Certificates Tab", если кликнуть на "View" certificate, говорится:

    The Bat can use this certificate for:
    message encryption - no,
    verifying digital signiture of a message - no,
    TLS connections - no.

    Посмотрела свойства других сертификатов из моей "Trusted Root CA Address Book", там везде написано:
    The Bat can use this certificate for:
    message encryption - yes ,
    verifying digital signiture of a message - yes,
    TLS connections - yes.

    Довольно очевидно что проблема в этом. Но как заставить БАТ использовать импортированный сертификат для TLS соединений?

  2. #2
    Wanderer
    Wanderer вне форума
    Участник
    Регистрация
    11.08.2003
    Сообщений
    774

    Re: Root Certificate проблема

    Не все что очевидно - правильно, и не все правильное - очевидно…
    заставить - нельзя, потому что не нужно… и использовать корневой сертификат для соединения - тоже не то…
    скорее всего в RootCA подложен не тот сертификат, которым подписан серверный, или или же он (возможно) просрочен…

    что свойства сертификата корневого в книге говорят?

  3. #3
    Alya
    Alya вне форума
    Участник
    Регистрация
    27.03.2005
    Сообщений
    24

    Re: Root Certificate проблема

    Wanderer

    скорее всего в RootCA подложен не тот сертификат
    В логе Бата указано что требуется корневой сертификат UTN-USERFirst-Hardware от www.usertrust.com:

    >9/10/2006, 11:26:43: FETCH - Certificate S/N: 5ECCAAEA239CC56508C78553729F1A71, algorithm: RSA (1024 bits), issued from 27 Jun 2006 to 27 Jun 2007, for 1 host(s): mail.nerdshack.com.
    >9/10/2006, 11:26:43: FETCH - Owner: US, 75201, Texas, Dallas, 2109 Commerce Street, Lavabit LLC, Hosted by Razorvision Technology, Comodo InstantSSL, mail.nerdshack.com.
    >9/10/2006, 11:26:43: FETCH - Issuer: US, UT, Salt Lake City, The USERTRUST Network, http://www.usertrust.com, UTN-USERFirst-Hardware.
    !9/10/2006, 11:26:43: FETCH - TLS handshake failure. Invalid server certificate (The issuer of this certificate chain was not found).

    Я скачала UTN-USERFirst-Hardware сертификат отсюда:
    http://www.usertrust.com/cacerts/UTN…t-Hardware.crt

    По названию совпадает. А как еще проверить тот это сертификат или не тот?

    что свойства сертификата корневого в книге говорят?
    См. приложенный файл.

    В чем может быть проблема?

  4. #4
    Wanderer
    Wanderer вне форума
    Участник
    Регистрация
    11.08.2003
    Сообщений
    774

    Re: Root Certificate проблема

    Проблема в том, что сертификат использован не тот, что нужно…
    UTN-USERFirst-Hardware использован для подписи серверного, но он сам - не корневой, а выдан (подписан) AddTrust External CA Root (и этот третий сертификат сервер, даже если попросить - в цепочке сертификатов не передает)…
    Так что UTN-USERFirst-Hardware надо в промежуточные (и не с сайта, а отданный сервером), и в корневые найти AddTrust External CA Root

    PS - то, что с сайта отдаваемый сертификат не то - видно по серийному номеру и по тому, что он CAшный, а для подписи сертификата сервера использовался не он
    PPS - в аттаче лог коннекта при помощи "openssl s_client -showcerts" и вырезанные из лога 2 сертификатов

  5. #5
    Alya
    Alya вне форума
    Участник
    Регистрация
    27.03.2005
    Сообщений
    24

    Re: Root Certificate проблема

    Wanderer

    Спасибо
    Я импортировала твои сертификаты в Бат.

    Но я не могу найти AddTrust External CA Root сертификат

    На http://www.addtrust.com его скачать нельзя.

    Нашла пару в Гугле - но они все не те (промежуточные/предназначены для чего-то другого)
    http://www.instantssl.com/ssl-certif…TNServerCA.crt
    http://www.federation.org.au/twiki/p…TNServerCA.crt
    http://docs.codehaus.org/download/at....crt?version=1

    Как и где можно раздобыть этот сертификат?

    И почему вообще такая проблема с этим мылом случилась? Я ведь использую и другие SSL/TLS e-mails, и никогда раньше не приходилось пол-дня искать какой-то сертификат

  6. #6
    Alya
    Alya вне форума
    Участник
    Регистрация
    27.03.2005
    Сообщений
    24

    Re: Root Certificate проблема

    Написала в nerdshack.com тех-поддержку с просьбой выслать корневой сертификат.

    Мне дали ссылку и прислали вот это:
    http://www.instantssl.com/ssl-certif…ion/bundle.crt

    В этой связке AddTrust External CA Root является промежуточным сертификатом, подписанный корневым сертификатом UTN-USERFirst-Hardware (а здесь говорилось что нужно наоборот, UTN-USERFirst-Hardware в промежуточные, а AddTrust External CA Root в корневые).

    При попытке его использования Бат зависает.

    Что делать?

  7. #7
    Wanderer
    Wanderer вне форума
    Участник
    Регистрация
    11.08.2003
    Сообщений
    774

    Re: Root Certificate проблема

    Неудивительно что вешается, там закольцованы сертификаты…

  8. #8
    Wanderer
    Wanderer вне форума
    Участник
    Регистрация
    11.08.2003
    Сообщений
    774

    Re: Root Certificate проблема

    Итак, вот по этому линку найден правильный AddTrust External CA Root, выданный в свою очередь UTN SGC (который у меня обнаружился в Trusted Root)
    Для демонстрации показываю недостающие в "стандартном разливе" сертификаты, добавленные обычному пользователю в адресбуке для тестирования, и цепочку сертификатов + сертификат AddTrust.
    Техподдержке nerdshack.com за закольцованный путь сертификации можно показать средний палец

  9. #9
    Alya
    Alya вне форума
    Участник
    Регистрация
    27.03.2005
    Сообщений
    24

    Re: Root Certificate проблема

    Wanderer

    Огромное спасибо - после импортирования указанного сертификата проблема разрешилась! А я здесь все сижу и пытаюсь убедить тех-поддержку nerdshak'a что они мне дали неправильный сертификат Без твоей помощи я б еще долго с ними переписывалась. Кроме того, я теперь лучше понимаю как это все работает.

Похожие темы

  1. Как импортировать сертификат в Trusted Root CA?
    от dimaxer в разделе The Bat!: вопросы и ответы
    Ответов: 2
    Последнее сообщение: 01.08.2007, 09:08
  2. Перенесено: Root Certificate проблема
    от aff в разделе The Bat!: вопросы и ответы
    Ответов: 0
    Последнее сообщение: 14.09.2006, 12:16
  3. Проблема с HTML письмами, большая проблема!
    от nikka в разделе The Bat!: вопросы и ответы
    Ответов: 2
    Последнее сообщение: 16.12.2004, 14:14
  4. Как подтянуть S/MIME Certificate Revocation List???
    от panalex в разделе The Bat!: вопросы и ответы
    Ответов: 0
    Последнее сообщение: 12.02.2004, 10:32
  5. Проблемы с подтяжкой S/MIME Certificate Revocation List…
    от panalex в разделе The Bat!: вопросы и ответы
    Ответов: 0
    Последнее сообщение: 05.02.2004, 15:56