Courier Mail Server Forum Index Courier Mail Server
www.courierms.ru
 
 FAQFAQ   SearchSearch   MemberlistMemberlist   UsergroupsUsergroups   RegisterRegister 
 ProfileProfile   Log in to check your private messagesLog in to check your private messages   Log inLog in 

настройка SSL

 
Post new topic   Reply to topic    Courier Mail Server Forum Index -> Courier Mail Server 3.xx
View previous topic :: View next topic  
Author Message
Slava_D
Newbie
Newbie


Joined: 13 Jun 2019
Posts: 4

PostPosted: 13 Jun 2019 17:25 (Thu)    Post subject: настройка SSL Reply with quote

Добрый день!

Если я правильно понимаю сообщения в логе (внешний ящик):
>13.06.2019 16:21:00 0072 * OK The Microsoft Exchange IMAP4 service is ready.
<13.06.2019 16:21:00 0072 C001 STARTTLS
>13.06.2019 16:21:00 0072 C001 OK Begin TLS negotiation now.
~13.06.2019 16:21:00 0072 grbitProtocol=AA0h (SSL 3.0, TLS 1.0, TLS 1.1, TLS 1.2)
~13.06.2019 16:21:00 0072 InitializeSecurityContextA returned 80090325h: Цепочка сертификатов выпущена центром сертификации, не имеющим доверия
!13.06.2019 16:21:00 0072 Сбой защиты соединения (SSL/TLS)
-13.06.2019 16:21:00 0072 Отключились от сервера mmm.xxxx.local:143

возможно ли отключить проверку сертификата?
Back to top
View user's profile Send private message
NAMOR
CMS Developer


Joined: 15 Oct 2005
Posts: 1079

PostPosted: 13 Jun 2019 21:55 (Thu)    Post subject: Re: настройка SSL Reply with quote

Slava_D wrote:
возможно ли отключить проверку сертификата?

Такой возможности в CMS пока нет. Добавим в будущих версиях.

Пока же, чтобы работало, добавьте сертификат центра сертификации, выдавшего сертификат серверу mmm.xxxx.local, в доверенные корневые центры сертификации на компьютере с CMS.
Если же внешний сервер использует самоподписанный сертификат (полученный без центра сертификации), то добавьте этот сертификат туда же.

Однако отключение проверки сертификата сервера приведёт к существенному снижению безопасности. В результате CMS будет работать с любым сервером, который ответит по адресу mmm.xxxx.local, в том числе и с сервером злоумышленника. Добиться этого можно, например, подменой ответа DNS-сервера.
Если же добавить сертификат сервера в доверенные (как это и должно быть), то CMS будет работать только с "настоящим" сервером, а с "фальшивым" откажется. И тогда, чтобы выдать "фальшивый" сервер за "настоящий", злоумышленнику придётся похитить у "настоящего" секретную часть сертификата, что, как правило, сделать непросто.
Back to top
View user's profile Send private message Send e-mail Visit poster's website
Slava_D
Newbie
Newbie


Joined: 13 Jun 2019
Posts: 4

PostPosted: 14 Jun 2019 11:07 (Fri)    Post subject: Reply with quote

Добрый день, NAMOR.

Quote:
Пока же, чтобы работало, добавьте сертификат центра сертификации, выдавшего сертификат серверу mmm.xxxx.local, в доверенные корневые центры сертификации на компьютере с CMS.
Если же внешний сервер использует самоподписанный сертификат (полученный без центра сертификации), то добавьте этот сертификат туда же.

К сожалению, это не помогло, таже ситуация, были добавлены и корневые и промежуточные.....

Quote:
Однако отключение проверки сертификата сервера приведёт к существенному снижению безопасности. В результате CMS будет работать с любым сервером, который ответит по адресу mmm.xxxx.local, в том числе и с сервером злоумышленника. Добиться этого можно, например, подменой ответа DNS-сервера.
Если же добавить сертификат сервера в доверенные (как это и должно быть), то CMS будет работать только с "настоящим" сервером, а с "фальшивым" откажется. И тогда, чтобы выдать "фальшивый" сервер за "настоящий", злоумышленнику придётся похитить у "настоящего" секретную часть сертификата, что, как правило, сделать непросто.

в данном случае это внутренняя сеть, лучше бы без ssl и без exchange Smile
Back to top
View user's profile Send private message
NAMOR
CMS Developer


Joined: 15 Oct 2005
Posts: 1079

PostPosted: 14 Jun 2019 13:00 (Fri)    Post subject: Reply with quote

Slava_D wrote:
К сожалению, это не помогло, таже ситуация, были добавлены и корневые и промежуточные.....

Если правильно добавить, то должно помочь.
В Windows есть сертификаты текущего пользователя (доступ к ним — через оснастку certmgr.msc) и сертификаты локального компьютера (оснастка certlm.msc).
Когда CMS запущен как приложение, он работает с сертификатами текущего пользователя. Когда CMS запущен как служба — с сертификатами локального компьютера.
Чтобы работало в любом случае, добавьте сертификат и туда и туда.
Он должен отображаться в разделе "Доверенные корневые центры сертификации - Сертификаты".

Slava_D wrote:
в данном случае это внутренняя сеть, лучше бы без ssl и без exchange Smile

Так попробуйте в CMS отключить SSL/TLS для внешнего ящика, может, и так будет работать Very Happy
Back to top
View user's profile Send private message Send e-mail Visit poster's website
Slava_D
Newbie
Newbie


Joined: 13 Jun 2019
Posts: 4

PostPosted: 14 Jun 2019 14:41 (Fri)    Post subject: Reply with quote

NAMOR wrote:
Если правильно добавить, то должно помочь.
В Windows есть сертификаты текущего пользователя (доступ к ним — через оснастку certmgr.msc) и сертификаты локального компьютера (оснастка certlm.msc).
Когда CMS запущен как приложение, он работает с сертификатами текущего пользователя. Когда CMS запущен как служба — с сертификатами локального компьютера.
Чтобы работало в любом случае, добавьте сертификат и туда и туда.
Он должен отображаться в разделе "Доверенные корневые центры сертификации - Сертификаты".

нет, тоже не помогает, уже и так пробовал mmc.exe->Файл->Добавить или удалить оснастку...->Сертификаты->Добавить->Учетной записи службы->CourierMS далее Корн.центры серт.

NAMOR wrote:
Так попробуйте в CMS отключить SSL/TLS для внешнего ящика, может, и так будет работать Very Happy

Если бы был доступ к нему......
Back to top
View user's profile Send private message
NAMOR
CMS Developer


Joined: 15 Oct 2005
Posts: 1079

PostPosted: 14 Jun 2019 15:02 (Fri)    Post subject: Reply with quote

Slava_D wrote:
нет, тоже не помогает, уже и так пробовал mmc.exe->Файл->Добавить или удалить оснастку...->Сертификаты->Добавить->Учетной записи службы->CourierMS далее Корн.центры серт.

Возможно, добавляете не тот сертификат.
Back to top
View user's profile Send private message Send e-mail Visit poster's website
Slava_D
Newbie
Newbie


Joined: 13 Jun 2019
Posts: 4

PostPosted: 14 Jun 2019 15:24 (Fri)    Post subject: Reply with quote

на другом ПК заработало, на вин2008р2 не хочет... в общем это не важно, задачу он свою выполняет и получает письма.

Если Вы будете добавлять возможность не проверять сертификат, примерно когда это в планах?
Back to top
View user's profile Send private message
NAMOR
CMS Developer


Joined: 15 Oct 2005
Posts: 1079

PostPosted: 14 Jun 2019 18:29 (Fri)    Post subject: Reply with quote

Slava_D wrote:
Если Вы будете добавлять возможность не проверять сертификат, примерно когда это в планах?

Надеюсь, ближе к концу года найдём время заняться этим вопросом.
Back to top
View user's profile Send private message Send e-mail Visit poster's website
Display posts from previous:   
Post new topic   Reply to topic    Courier Mail Server Forum Index -> Courier Mail Server 3.xx All times are GMT + 4 Hours
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
You cannot attach files in this forum
You can download files in this forum


Powered by phpBB © 2001, 2005 phpBB Group