View previous topic :: View next topic |
Author |
Message |
Slava_D Newbie
Joined: 13 Jun 2019 Posts: 4
|
Posted: 13 Jun 2019 17:25 (Thu) Post subject: настройка SSL |
|
|
Добрый день!
Если я правильно понимаю сообщения в логе (внешний ящик):
>13.06.2019 16:21:00 0072 * OK The Microsoft Exchange IMAP4 service is ready.
<13.06.2019 16:21:00 0072 C001 STARTTLS
>13.06.2019 16:21:00 0072 C001 OK Begin TLS negotiation now.
~13.06.2019 16:21:00 0072 grbitProtocol=AA0h (SSL 3.0, TLS 1.0, TLS 1.1, TLS 1.2)
~13.06.2019 16:21:00 0072 InitializeSecurityContextA returned 80090325h: Цепочка сертификатов выпущена центром сертификации, не имеющим доверия
!13.06.2019 16:21:00 0072 Сбой защиты соединения (SSL/TLS)
-13.06.2019 16:21:00 0072 Отключились от сервера mmm.xxxx.local:143
возможно ли отключить проверку сертификата? |
|
Back to top |
|
|
NAMOR CMS Developer
Joined: 15 Oct 2005 Posts: 1079
|
Posted: 13 Jun 2019 21:55 (Thu) Post subject: Re: настройка SSL |
|
|
Slava_D wrote: | возможно ли отключить проверку сертификата? |
Такой возможности в CMS пока нет. Добавим в будущих версиях.
Пока же, чтобы работало, добавьте сертификат центра сертификации, выдавшего сертификат серверу mmm.xxxx.local, в доверенные корневые центры сертификации на компьютере с CMS.
Если же внешний сервер использует самоподписанный сертификат (полученный без центра сертификации), то добавьте этот сертификат туда же.
Однако отключение проверки сертификата сервера приведёт к существенному снижению безопасности. В результате CMS будет работать с любым сервером, который ответит по адресу mmm.xxxx.local, в том числе и с сервером злоумышленника. Добиться этого можно, например, подменой ответа DNS-сервера.
Если же добавить сертификат сервера в доверенные (как это и должно быть), то CMS будет работать только с "настоящим" сервером, а с "фальшивым" откажется. И тогда, чтобы выдать "фальшивый" сервер за "настоящий", злоумышленнику придётся похитить у "настоящего" секретную часть сертификата, что, как правило, сделать непросто. |
|
Back to top |
|
|
Slava_D Newbie
Joined: 13 Jun 2019 Posts: 4
|
Posted: 14 Jun 2019 11:07 (Fri) Post subject: |
|
|
Добрый день, NAMOR.
Quote: | Пока же, чтобы работало, добавьте сертификат центра сертификации, выдавшего сертификат серверу mmm.xxxx.local, в доверенные корневые центры сертификации на компьютере с CMS.
Если же внешний сервер использует самоподписанный сертификат (полученный без центра сертификации), то добавьте этот сертификат туда же. |
К сожалению, это не помогло, таже ситуация, были добавлены и корневые и промежуточные.....
Quote: | Однако отключение проверки сертификата сервера приведёт к существенному снижению безопасности. В результате CMS будет работать с любым сервером, который ответит по адресу mmm.xxxx.local, в том числе и с сервером злоумышленника. Добиться этого можно, например, подменой ответа DNS-сервера.
Если же добавить сертификат сервера в доверенные (как это и должно быть), то CMS будет работать только с "настоящим" сервером, а с "фальшивым" откажется. И тогда, чтобы выдать "фальшивый" сервер за "настоящий", злоумышленнику придётся похитить у "настоящего" секретную часть сертификата, что, как правило, сделать непросто. |
в данном случае это внутренняя сеть, лучше бы без ssl и без exchange |
|
Back to top |
|
|
NAMOR CMS Developer
Joined: 15 Oct 2005 Posts: 1079
|
Posted: 14 Jun 2019 13:00 (Fri) Post subject: |
|
|
Slava_D wrote: | К сожалению, это не помогло, таже ситуация, были добавлены и корневые и промежуточные..... |
Если правильно добавить, то должно помочь.
В Windows есть сертификаты текущего пользователя (доступ к ним — через оснастку certmgr.msc) и сертификаты локального компьютера (оснастка certlm.msc).
Когда CMS запущен как приложение, он работает с сертификатами текущего пользователя. Когда CMS запущен как служба — с сертификатами локального компьютера.
Чтобы работало в любом случае, добавьте сертификат и туда и туда.
Он должен отображаться в разделе "Доверенные корневые центры сертификации - Сертификаты".
Slava_D wrote: | в данном случае это внутренняя сеть, лучше бы без ssl и без exchange |
Так попробуйте в CMS отключить SSL/TLS для внешнего ящика, может, и так будет работать |
|
Back to top |
|
|
Slava_D Newbie
Joined: 13 Jun 2019 Posts: 4
|
Posted: 14 Jun 2019 14:41 (Fri) Post subject: |
|
|
NAMOR wrote: | Если правильно добавить, то должно помочь.
В Windows есть сертификаты текущего пользователя (доступ к ним — через оснастку certmgr.msc) и сертификаты локального компьютера (оснастка certlm.msc).
Когда CMS запущен как приложение, он работает с сертификатами текущего пользователя. Когда CMS запущен как служба — с сертификатами локального компьютера.
Чтобы работало в любом случае, добавьте сертификат и туда и туда.
Он должен отображаться в разделе "Доверенные корневые центры сертификации - Сертификаты".
|
нет, тоже не помогает, уже и так пробовал mmc.exe->Файл->Добавить или удалить оснастку...->Сертификаты->Добавить->Учетной записи службы->CourierMS далее Корн.центры серт.
NAMOR wrote: | Так попробуйте в CMS отключить SSL/TLS для внешнего ящика, может, и так будет работать |
Если бы был доступ к нему...... |
|
Back to top |
|
|
NAMOR CMS Developer
Joined: 15 Oct 2005 Posts: 1079
|
Posted: 14 Jun 2019 15:02 (Fri) Post subject: |
|
|
Slava_D wrote: | нет, тоже не помогает, уже и так пробовал mmc.exe->Файл->Добавить или удалить оснастку...->Сертификаты->Добавить->Учетной записи службы->CourierMS далее Корн.центры серт. |
Возможно, добавляете не тот сертификат. |
|
Back to top |
|
|
Slava_D Newbie
Joined: 13 Jun 2019 Posts: 4
|
Posted: 14 Jun 2019 15:24 (Fri) Post subject: |
|
|
на другом ПК заработало, на вин2008р2 не хочет... в общем это не важно, задачу он свою выполняет и получает письма.
Если Вы будете добавлять возможность не проверять сертификат, примерно когда это в планах? |
|
Back to top |
|
|
NAMOR CMS Developer
Joined: 15 Oct 2005 Posts: 1079
|
Posted: 14 Jun 2019 18:29 (Fri) Post subject: |
|
|
Slava_D wrote: | Если Вы будете добавлять возможность не проверять сертификат, примерно когда это в планах? |
Надеюсь, ближе к концу года найдём время заняться этим вопросом. |
|
Back to top |
|
|
|
|
You cannot post new topics in this forum You cannot reply to topics in this forum You cannot edit your posts in this forum You cannot delete your posts in this forum You cannot vote in polls in this forum You cannot attach files in this forum You can download files in this forum
|
Powered by phpBB © 2001, 2005 phpBB Group
|