rss
Ils ont besoin de votre aide Tous les messages sans réponse
Rechercher : dans
Par : Pertinence Date Nom d'utilisateur
Statut : Non résolu

[postfix]Certificats : no start line

Posté par darkukai, le jeudi 16 novembre 2006 à 08:45:57
bonjour,
Je suis toujours sur mon serveur mail qui marche bien mais sur lequel j'essai de mettre un place un rien de sécurité grâce à TLS
ma config
postfix postfix-tls postfix-ldap courier-imap courier-imap-ssl openssl openldap

J'essaie de créer des certificats pour utilisé imap-ssl que je sign avec ma propre autorité de certifications mais cela ne semble pas marché Sad

j'utilise un script qui est censé me faire tout çà 


#!/bin/bash

rm -rf /usr/local/CA
mkdir /usr/local/CA
cd /usr/local/CA

echo -e " * CERTIFICATION AUTHORITY CERTIFICATE\n===============================================­===";
# Create Certificate Authority :
openssl genrsa -out cakey.pem 4096
chmod 600 /usr/local/CA/cakey.pem
openssl req -new -x509 -keyout cakey.pem -out cacert.pem -days 365

echo -e " * SERVICE CERTIFICATE\n===============================================­===";

echo -e "   * LDAP\n========================================";
openssl genrsa -out ldapkey.pem 2048
chmod 600 /usr/local/CA/ldapkey.pem
openssl req -new -key ldapkey.pem -out ldapcert.req
# Sign the key
openssl x509 -req -in ldapcert.req -out ldapcert.pem -CA cacert.pem -CAkey cakey.pem -days 365 -CAcreateserial
echo -e "   * VERIFICATION\n================================";
openssl verify -CAfile /usr/local/CA/cacert.pem /usr/local/CA/ldapcert.pem


echo -e "   * SMTP\n========================================";
openssl genrsa -out smtpkey.pem 2048 && chmod 600 /usr/local/CA/smtpkey.pem
openssl req -new -key smtpkey.pem -out smtpcert.req
# Sign the key
openssl x509 -req -in smtpcert.req -out smtpcert.pem -CA cacert.pem -CAkey cakey.pem -days 365 -CAcreateserial
echo -e "   * VERIFICATION\n================================";
openssl verify -CAfile /usr/local/CA/cacert.pem /usr/local/CA/smtpcert.pem


echo -e "   * COURIER-IMAP\n========================================"­;
openssl genrsa -out imapkey.pem 2048 && chmod 600 /usr/local/CA/imapkey.pem
openssl req -new -key imapkey.pem -out imapcert.req
# Sign the key
openssl x509 -req -in imapcert.req -out imapcert.pem -CA cacert.pem -CAkey cakey.pem -days 365 -CAcreateserial
echo -e "   * VERIFICATION\n================================";
openssl verify -CAfile /usr/local/CA/cacert.pem /usr/local/CA/imapcert.pem
# Courier-imap needs certificate and private key in the same file :
cat imapcert.pem imapkey.pem >> imap.pem


echo -e "   * APACHE\n========================================";
openssl genrsa -out apachekey.pem 2048 && chmod 600 /usr/local/CA/apachekey.pem
openssl req -new -key apachekey.pem -out apachecert.req
# Sign the key
openssl x509 -req -in apachecert.req -out apachecert.pem -CA cacert.pem -CAkey cakey.pem -days 365 -CAcreateserial
echo -e "   * VERIFICATION\n================================";
openssl verify -CAfile /usr/local/CA/cacert.pem /usr/local/CA/apachecert.pem

echo -e "   * APACHELDAP\n========================================";
openssl genrsa -out apacheldapkey.pem 2048 && chmod 600 /usr/local/CA/apacheldapkey.pem
openssl req -new -key apacheldapkey.pem -out apacheldapcert.req
# Sign the key
openssl x509 -req -in apacheldapcert.req -out apacheldapcert.pem -CA cacert.pem -CAkey cakey.pem -days 365 -CAcreateserial
echo -e "   * VERIFICATION\n================================";
openssl verify -CAfile /usr/local/CA/cacert.pem /usr/local/CA/apacheldapcert.pem

rm *.req


j'ai après chaque signature de certificat l'erreur
Code:
error 7 at 0 depth lookup : certificate signature failure


si je laisse courir et que je l'utilise quand même en cas d'utilisation dans le cadre d'une demande d'authentification j'ai coté client une erreur "TLS required" alors que tout est bien paramétré et coté serveur dans mon mail.info la fameuse :" imapd: courierTLS: /etc/ssl/imapcert.pem: error:0906D06C;PEM routines;PEM_read_bio;no start line

sur le site qui a créer ce script http://contrib.lynuxsolutions.com/...
ils ne font pas mention de cette erreur, j'ai donc rechercher une autre méthode pour créer mon autorité et mes certificats et j'ai trouvé une autre méthode
openssl verify me trouve plus d'erreur dans mes certif mais dans mail.info j'ai toujours la même erreur.

Bouuuuhh :(

est ce que quelqu'un est déjà tombé sur ce cas là et pourrai me venir en aide
j'ai farfouillé toute l'aprem dans google et plein de forum et j'en suis a essayer de traduire des topic en hongrois tellement y a pas de solutions a ce problème Sad

d'avance merci à la bonne âme
Configuration: Debian sarge 31r3
postfix/postfix-ldap/postfix-tls
openldap
courier-imap/courier-imap-ssl
Répondre à darkukai  Signaler ce message aux modérateurs Aller au dernier message

1


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
 darkukai, le jeudi 16 novembre 2006 à 11:18:46
Alors voila j'ai pas mal avancé et je suis tombé sur un post explicant qu'en copiant les contenu du fichier key.pem à la fin du cert.pem cela marchait alors pas bête la bête j'ai tester et effectivement y a du mieux

me demandé surtout pas le pourquoi du comment :)

Bon du coup j'avais plus la même erreur: je me retrouvai avec un SSL3 error Wrong version

après quelques recherches j'ai vu que le client mail "evolution" de ma ubuntu avait un bug justement sur l'utilisation de TLS1 que je suis censé utilisé et que lui forcait en SSLv3 donc ah pas bon !

J'ai installé un petit Kmail sur ma ubuntu et là ohhh miracle çà marche :) :) :)

par contre l'authentification SMPT-saslauth ne fonctionne pas sur Kmail mais bien sur Evolution !!!

Grrrrr donc je repart en guerre :)

le message de Kmail : 
darkukai@darkukai-laptop:~$ kmail: ERROR: : couldn't create slave : Unable to create io-slave:
klauncher said: Unknown protocol 'smtp'.
kmail:


bouuuh et j'ai rien dans mes logs sur mon serveur de mail

par contre je comfirme qu'evolution lui peut s'authentifier sans problème :(
   
Répondre à darkukai
Posez votre question Répondre
Logiciels pertinents trouvés dans les téléchargements
Télécharger Mega Bloc Notes 5.3Mega Bloc Notes - Mega Bloc Notes est un éditeur de texte (TXT/RTF/XLS/DOC/MCW/HTM...) possédant une multitudes de fonctions originales telles...Catégorie: Traitement de texte
Licence: Freeware/gratuit
Télécharger NoTrace 2FNoTrace - NoTrace est un logiciel qui va se charger de nettoyer des points sensibles de votre vie privée. En naviguant sur Internet,...Catégorie: Anonymat/Confidentialité
Licence: Freeware/gratuit
Télécharger Xenu's Link Sleuth 1.2jXenu's Link Sleuth - Xenu's Link Sleuth est un logiciel permettant de vérifier les liens brisés d'un site web. La vérification est effectuée...Catégorie: Webmaster
Licence: Freeware/gratuit
Télécharger NooPod 3.0 NooPod - Noopod est un lecteur RSS / Podcast / WebRadio et Vidéo Dailymotion. Il permet de récupérer toutes les actualités de vos...Catégorie: RSS
Licence: Freeware/gratuit
Plus de logiciels gratuits sur « [postfix]Certificats : no start line »