Полезная информация
Страницы: 1
Thunderbird » Адресная книга в LDAP через SSL » 19-05-2013 07:21:51
- wolverin
- Replies: 19
И у корневого сертификата cacert.pem, и у сертификата сервера ldap_cert.pem одинаковый серийный номер - 51 4a 92 83.
:D вы правы, перегенерил ldap_cert.pem и все заработало!!! видимо сертификат делается по времени, а скриптом у обоих команд время одинаковое получается ))
Thunderbird » Адресная книга в LDAP через SSL » 18-05-2013 08:42:23
- wolverin
- Replies: 19
Ты можешь выложить свой открытый ключ?
СА http://file.qip.ru/file/BhSxCg00/cacert.html
Сервера http://file.qip.ru/file/HqYb4En/ldap_cert.html
TB 17.0.6 вчера дообновился. Не могу сказать что перестало работать, т.к. на той версии 3.х где почему то работало - на других машинах повторить не удалось с той же самой версией.
Если вам потребуется и найдется немного времени - я могу и доступ к моему ЛДАПу открыть, просто уже пару месяцев с этой проблемой не могу разобраться.
в целом сдаётся мне что это баг
как насчет сгенерить второй сертификат для другого порта? мож прокатит такой костыль.
Что значит второй сертификат? для ЛДАП я сгенерил СА, потом для сервера и подписал его с помощью СА, просто для веб морды и почты на этом серваке используются другой сертификат, но они же на других портах (25,993,443)
Не совсем уверен что дело в ТВ, т.к. на ломаном MS Office Outlook 2007 тоже не заработало, но с ним я не стал разбират
Thunderbird » Адресная книга в LDAP через SSL » 17-05-2013 15:48:06
- wolverin
- Replies: 19
сразу скажу - в ноде у меня проверка ССЛ отключена и cert8.db и cert_override.txt удалял и добавлял СА по новой - воз и ныне там. Получается sec_error_reused_issuer_and_serial может в ТВ значить все что угодно.
Thunderbird » Адресная книга в LDAP через SSL » 17-05-2013 14:12:19
- wolverin
- Replies: 19
security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref в true
не помогает (
нашел в мозиле Консоль ошибок, вот что там появляется после обращение к адресной книге
[code]
Метка времени: 17.05.2013 16:09:17
Ошибка: An error occurred updating the cmd_delete command: [Exception... "'[JavaScript Error: "cards[i] is null" {file: "chrome://messenger/content/addressbook/abResultsPane.js" line: 124}]' when calling method: [nsIController::isCommandEnabled]" nsresult: "0x80570021 (NS_ERROR_XPC_JAVASCRIPT_ERROR_WITH_DETAILS)" location: "JS frame :: chrome://global/content/globalOverlay.js :: goUpdateCommand :: line 75" data: yes]
Источник: chrome://global/content/globalOverlay.js
Строка: 81
Метка времени: 17.05.2013 16:09:17
Ошибка: An
error occurred updating the cmd_chatWithCard command: [Exception... "'[JavaScript Error: "selectedCard is null" {file: "chrome://messenger/content/addressbook/addressbook.js" line: 771}]' when calling method: [nsICo
…Thunderbird » Адресная книга в LDAP через SSL » 17-05-2013 13:28:24
- wolverin
- Replies: 19
Отфильтруй по security.enable и security.ssl3 и установи все параметры, имеющие значение false, в true.
частично пробовал так, сейчас снова все выставил - ничего не меняется в дампе
Код:
cipherSuite Unknown value 0x84
compressionMethod NULL
59 3 0.0965 (0.0000) S>CV3.1(1594) Handshake
Certificate
59 4 0.1929 (0.0964) S>CV3.1(4) Handshake
ServerHelloDone
59 5 0.1980 (0.0050) C>SV3.1(2) Alert
level fatal
value bad_certificate
59 0.1981 (0.0000) S>C TCP FIN
59 2.8301 (2.6320) C>S TCP RSTчто за cipherSuite Unknown value 0x84 - может как то отключить его в ТВ?
Thunderbird » Адресная книга в LDAP через SSL » 17-05-2013 12:57:52
- wolverin
- Replies: 19
Или просто добавить корневой сертификат с диска руками в доверенные корневые центры.
добавлял и корневой и для сервера подписаный корневым ОЕ работает, ТВ - нет.
по ссылке написано что возможно баг веб сервера.
ldaps подразумевает 636 порт, ldap://host:636 так тоже ничего не находит.
Какой cipher-list включён на сервере?
а это как посмотреть? ставил все стандартно из репозетория.
Thunderbird » Адресная книга в LDAP через SSL » 17-05-2013 07:48:43
- wolverin
- Replies: 19
тут надо разобраться почему не принимает сертификат.
да вот как разобраться то!?
ОЕ стоит на той же машине и в нем все работает, да и вообще ОЕ везде работает где он стоит - достаточно СА сертификат в центры сертификации добавить.
А вот что может в сертификате не хватать тоже понять не могу, т.к. вроде создавал их по примерам других.
Могу оба СА и сервера открытых выложить если нужно.
ЗЫ. У меня только одна мысль - ТВ использует сертификат с 443 порта, на 636 который естественно ДРУГОЙ хотя и имя серверов одинаковое, однако пробовал без первого - безрезультатно.
17-05-2013 07:51:28
ТВ использует сертификат с 443 порта, на 636 который естественно ДРУГОЙ
да и исключение к 636 порту не добавляется никак.
…Thunderbird » Адресная книга в LDAP через SSL » 17-05-2013 06:07:57
- wolverin
- Replies: 19
вот ssldump от работающего OE
[code]
New TCP connection #50: dynamicip-х-х-х-х.pppoe.chel.ertelecom.ru(2219) <-> х.х.х.х(636)
50 1 0.0855 (0.0855) C>S SSLv2 compatible client hello
Version 3.1
cipher suites
TLS_RSA_WITH_RC4_128_MD5
TLS_RSA_WITH_RC4_128_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
SSL2_CK_RC4
SSL2_CK_3DES
SSL2_CK_RC2
TLS_RSA_WITH_DES_CBC_SHA
SSL2_CK_DES
TLS_RSA_EXPORT1024_WITH_RC4_56_SHA
TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
TLS_RSA_EXPORT_WITH_RC4_40_MD5
TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
SSL2_CK_RC4_EXPORT40
SSL2_CK_RC2_EXPORT40
TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
TLS_DHE_DSS_WITH_DES_CBC_SHA
TLS_DHE_DSS_EXPORT1024_WITH_DES_CBC_SHA
Unknown value 0xff
50 2 0.0858 (0.0002) S>CV3.1(74) Handshake
ServerHello
Version 3.1
random[32]=
51 95 8f 63 4d 42 11 46 4c b0 2f c5 cf c5 23 11
78 86 1e e3 69 13 46 bd d3 e5 a6 d1 dd 5e 0e 36
session_id[32]=
21 82 9a 59 3d 83 b8 ef fa c4 11 c1 e9 aa
Thunderbird » Адресная книга в LDAP через SSL » 17-05-2013 05:34:32
- wolverin
- Replies: 19
wolverin
http://www.linuxquestions.org/questions … re-903809/ читали?
давно уж как прочитал, автор там так и не написал как решил проблему.
17-05-2013 05:44:59
Вообще, телепаты в отпуске, но похоже на кривой сертификат. Например, если в нём для подписи используется хэш-функция MD5, то FF и TB принимать его не будут, MD5 в них уже выведен из эксплуатации. Не ваш ли это случай?
все может быть
генерил его так
[code]
#!/bin/bash
certtool --generate-privkey > ./private/cakey.pem
certtool --generate-self-signed --load-privkey ./private/cakey.pem --template ca.info --outfile ./certs/cacert.pem
certtool --generate-privkey > ./private/ldap_key.pem
certtool --generate-certificate --load-privkey ./private/ldap_key.pem --load-ca-certificate ./certs/cacert.pem --load-ca-privkey ./private/cakey.pem --template ldap.info --outfile ./certs/ldap_cert.pem
chgrp ssl-cert ./private/lda
Thunderbird » Адресная книга в LDAP через SSL » 16-05-2013 08:59:39
- wolverin
- Replies: 19
заметил такую особенность - у меня для почты на 443 порту поднята веб морда, так вот если указывать в исключениях ldaps://адрес - то почему то находится этот сертификат, а не который на 636 порту.
в таком вариенте https://адрес:636 - исключение вообще не находится, хотя ldapsearch прекрасно работает с сертификатом на этом порту
кривая мозила?
Thunderbird » Адресная книга в LDAP через SSL » 14-05-2013 07:31:08
- wolverin
- Replies: 19
Поднял на сервере LDAP каталог, создал SSL сертификаты, импортировал корневой через Internet Explorer, настроил Outlook Express 6.00.2900.5512 через SSL по 636 порту - все ОК!
Делаю тоже самое с Thunderbird 17.0.5 (импортировал корневой в Центры сертификации с полным доверием, настроил работу через SSL) - но подключения не происходит и в логах сервера вижу
Код:
slapd[10218]: conn=1008 fd=16 ACCEPT from IP=х.х.х.х:4302 (IP=0.0.0.0:636) slapd[10218]: conn=1008 fd=16 closed (TLS negotiation failure)
что делать? (с)
через 389 Thunderbird работает тоже.
Страницы: 1
Board footer
Powered by PunBB
Modified by Mozilla Russia
Copyright © 2004–2020 Mozilla Russia 
Язык отображения форума: [Русский] [English]