Тема: Как сгенерить правильно ключи что их понимал Бат?

Пытаюсь настроить STARTTLS
Генерировал ключи на сервере и вручную и скриптом /usr/share/doc/sendmail/makecert.sh. Естественно при генерации получаю надпись
Check that the request matches the signature
Signature ok

Но у TB свое мнение - он упорно выдает ошибку
24.07.2004, 18:41:52: SEND - This certificate is self-issued.
24.07.2004, 18:41:52: SEND - TLS handshake failure. Invalid server certificate (Signature match failed).

Я уже пытался менять алгоритмы - и md5RSA и sha1RSA - не помогает

В логах сервера ошибка выглядит как
Jul 24 11:10:07 osa sendmail[30043]: STARTTLS=server, error: accept failed=0, SSL_error=1, timedout=0, errno=0
Jul 24 11:10:07 osa sendmail[30043]: STARTTLS=server: 30043:error:14094412:SSL routines:SSL3_READ_BYTES:sslv3 alert bad certificate:s3_pkt.c:1052:SSL alert number 42


При этом клиент оперы (M4 помоему) спокойно хавает сертификат и только предупреждает что он self-signed

Сообщение от art

Пытаюсь настроить STARTTLS

В дистре … и версии openssl…

Генерировал ключи на сервере и вручную и скриптом /usr/share/doc/sendmail/makecert.sh.

Конфиг openssl использованный и команды - в студию…

Но у TB свое мнение - он упорно выдает ошибку
24.07.2004, 18:41:52: SEND - This certificate is self-issued.
24.07.2004, 18:41:52: SEND - TLS handshake failure. Invalid server certificate (Signature match failed).

Значит так и есть… Хотя я ни разу не проверял серртификаты свои, а все работают…

Я уже пытался менять алгоритмы - и md5RSA и sha1RSA - не помогает

Эт пофигу, собака не там…

В логах сервера ошибка выглядит как
Jul 24 11:10:07 osa sendmail[30043]: STARTTLS=server, error: accept failed=0, SSL_error=1, timedout=0, errno=0
Jul 24 11:10:07 osa sendmail[30043]: STARTTLS=server: 30043:error:14094412:SSL routines:SSL3_READ_BYTES:sslv3 alert bad certificate:s3_pkt.c:1052:SSL alert number 42

Что говорит о том, что даже если поборешь ошибку - будет следующая проблема - Мыш работает только с TLS, а сервер предложил не выше SSL3

При этом клиент оперы (M4 помоему) спокойно хавает сертификат и только предупреждает что он self-signed

Здесь подобные предъявы не аргумент!!! IP сервера несчастного?

Версия OpenSSL 0.9.7a Feb 19 2003, дистрибутив - RHEL3.0, The Bat 2.12.00

Конфиг openssl.cnf здоровый там - по этому я его просто приаттачил. А команды вот

Код:

#!/bin/bash
tmp=`mktemp -d "${TMPDIR:-/tmp}/pxboard.$$.XXXXXX"` || exit 1
cd $tmp
mkdir certs crl newcerts private
echo "01" > serial
cp /dev/null index.txt
cat /usr/share/ssl/openssl.cnf | sed -e 's/\.\/demoCA/\./' > openssl.cnf
openssl req -new -x509 -keyout private/cakey.pem -out cacert.pem -days 365 -config openssl.cnf
# make a new certificate
openssl req -nodes -new -x509 -keyout newreq.pem -out newreq.pem -days 365 -config openssl.cnf
# sign new certificate with certificate authority
openssl x509 -x509toreq -in newreq.pem -signkey newreq.pem -out tmp.pem
openssl ca -config openssl.cnf -policy policy_anything -out newcert.pem -infiles tmp.pem
if [ -d /etc/mail/certs ]; then
echo "Moved /etc/mail/certs to /etc/mail/certs.old"
mv -f /etc/mail/certs /etc/mail/certs.old
fi
mkdir /etc/mail/certs
cp cacert.pem /etc/mail/certs
grep -B 100 "END RSA PRIVATE KEY" newreq.pem > /etc/mail/certs/key.pem
chmod 400 /etc/mail/certs/key.pem
cp newcert.pem /etc/mail/certs/cert.pem

это содержимое скрипта makecert.sh
Но и когда делал вручную команды были почти такие же

Код:

…
/usr/share/ssl/misc/CA -newca
…
openssl req -nodes -new -x509 -keyout key.pem -out newcert.pem
…
openssl ca -config ./sendmailssl.cnf -policy policy_anything -out cert.pem -infiles csr.pem

(это по книжке O'Reily - Sendmail Guide)

Сам sendmail.mc настраивал верно - он спокойно отвечал STARTTLS на EHLO


Почитал еще в ФАК-е что надо добавлять сертификаты в адресную книгу вручную - все это делал

Сам IP сервера называть пока бесполезно - я там только MD5 авторизацию оставил.

Да вообще-то я хотел только openssl s_client сделать