Поднял на сервере LDAP каталог, создал SSL сертификаты, импортировал корневой через Internet Explorer, настроил Outlook Express 6.00.2900.5512 через SSL по 636 порту - все ОК!
Делаю тоже самое с Thunderbird 17.0.5 (импортировал корневой в Центры сертификации с полным доверием, настроил работу через SSL) - но подключения не происходит и в логах сервера вижу
Код:
slapd[10218]: conn=1008 fd=16 ACCEPT from IP=х.х.х.х:4302 (IP=0.0.0.0:636) slapd[10218]: conn=1008 fd=16 closed (TLS negotiation failure)
что делать? (с)
через 389 Thunderbird работает тоже.
заметил такую особенность - у меня для почты на 443 порту поднята веб морда, так вот если указывать в исключениях ldaps://адрес - то почему то находится этот сертификат, а не который на 636 порту.
в таком вариенте https://адрес:636 - исключение вообще не находится, хотя ldapsearch прекрасно работает с сертификатом на этом порту
кривая мозила?
хотя ldapsearch прекрасно работает с сертификатом на этом порту
кривая мозила?
Вообще, телепаты в отпуске, но похоже на кривой сертификат. Например, если в нём для подписи используется хэш-функция MD5, то FF и TB принимать его не будут, MD5 в них уже выведен из эксплуатации. Не ваш ли это случай?
wolverin
http://www.linuxquestions.org/questions … re-903809/ читали?
wolverin
http://www.linuxquestions.org/questions … re-903809/ читали?
давно уж как прочитал, автор там так и не написал как решил проблему.
17-05-2013 05:44:59
Вообще, телепаты в отпуске, но похоже на кривой сертификат. Например, если в нём для подписи используется хэш-функция MD5, то FF и TB принимать его не будут, MD5 в них уже выведен из эксплуатации. Не ваш ли это случай?
все может быть
генерил его так
Код:
#!/bin/bash certtool --generate-privkey > ./private/cakey.pem certtool --generate-self-signed --load-privkey ./private/cakey.pem --template ca.info --outfile ./certs/cacert.pem certtool --generate-privkey > ./private/ldap_key.pem certtool --generate-certificate --load-privkey ./private/ldap_key.pem --load-ca-certificate ./certs/cacert.pem --load-ca-privkey ./private/cakey.pem --template ldap.info --outfile ./certs/ldap_cert.pem chgrp ssl-cert ./private/ldap_key.pem chmod 640 ./private/ldap_key.pem # !!! Перезапись сертификатов cp -vp ./private/*.pem /etc/ssl/private/ cp -vp ./certs/*.pem /etc/ssl/certs/ c_rehash /etc/ssl/certs/ #ldapmodify -Y EXTERNAL -H ldapi:/// -f tls_enable.ldif /etc/init.d/slapd restart # cat ca.info cn = OOO Бла ca cert_signing_key expiration_days = 3650 # cat ldap.info organization = OOO Бла cn = бла.бла.ru tls_www_server encryption_key signing_key expiration_days = 3650
в самом СА сертификате показывает
Версия V3
Алгоритм подписи sha1RSA
Открытый ключ RSA (2048 Bits)
Алгоритм отпечатка sha
17-05-2013 05:47:38
самое забавное на какой то 3.х версии ТВ у меня заработало вообще без проблем, но на других машинах даже с той же версией запустить не смог ((
вот ssldump от работающего OE
Код:
New TCP connection #50: dynamicip-х-х-х-х.pppoe.chel.ertelecom.ru(2219) <-> х.х.х.х(636)
50 1 0.0855 (0.0855) C>S SSLv2 compatible client hello
Version 3.1
cipher suites
TLS_RSA_WITH_RC4_128_MD5
TLS_RSA_WITH_RC4_128_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
SSL2_CK_RC4
SSL2_CK_3DES
SSL2_CK_RC2
TLS_RSA_WITH_DES_CBC_SHA
SSL2_CK_DES
TLS_RSA_EXPORT1024_WITH_RC4_56_SHA
TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
TLS_RSA_EXPORT_WITH_RC4_40_MD5
TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
SSL2_CK_RC4_EXPORT40
SSL2_CK_RC2_EXPORT40
TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
TLS_DHE_DSS_WITH_DES_CBC_SHA
TLS_DHE_DSS_EXPORT1024_WITH_DES_CBC_SHA
Unknown value 0xff
50 2 0.0858 (0.0002) S>CV3.1(74) Handshake
ServerHello
Version 3.1
random[32]=
51 95 8f 63 4d 42 11 46 4c b0 2f c5 cf c5 23 11
78 86 1e e3 69 13 46 bd d3 e5 a6 d1 dd 5e 0e 36
session_id[32]=
21 82 9a 59 3d 83 b8 ef fa c4 11 c1 e9 aa 3b ff
ef ed 4b cd 16 4c 14 cd d0 62 23 3b 11 67 ba ba
cipherSuite TLS_RSA_WITH_RC4_128_MD5
compressionMethod NULL
50 3 0.0858 (0.0000) S>CV3.1(1594) Handshake
Certificate
50 4 0.1821 (0.0962) S>CV3.1(4) Handshake
ServerHelloDone
50 5 0.5317 (0.3496) C>SV3.1(262) Handshake
ClientKeyExchange
EncryptedPreMasterSecret[256]=
3c 69 2c 90 e8 72 d5 98 05 b4 0a 8f dc 75 f0 d6
eb f4 68 34 23 e5 5c 47 b7 02 77 78 3a 75 0d f3
e9 e3 26 37 c8 68 e1 d8 cc 0f c3 fd 38 27 97 9c
.......
50 6 0.5317 (0.0000) C>SV3.1(1) ChangeCipherSpec
50 7 0.5317 (0.0000) C>SV3.1(32) Handshake
50 8 0.5396 (0.0078) S>CV3.1(1) ChangeCipherSpec
50 9 0.5397 (0.0000) S>CV3.1(32) Handshake
50 10 0.7471 (0.2073) C>SV3.1(142) application_data
50 11 0.7475 (0.0004) S>CV3.1(30) application_data
50 12 0.8520 (0.1044) C>SV3.1(713) application_data
50 13 0.9111 (0.0590) S>CV3.1(519) application_data
50 14 0.9112 (0.0001) S>CV3.1(337) application_data
50 15 0.9113 (0.0001) S>CV3.1(677) application_data
50 16 0.9114 (0.0000) S>CV3.1(564) application_data
50 17 0.9119 (0.0004) S>CV3.1(526) application_data
50 18 0.9927 (0.0808) S>CV3.1(288) application_data
50 19 0.9927 (0.0000) S>CV3.1(321) application_data
50 20 0.9927 (0.0000) S>CV3.1(462) application_data
50 21 0.9927 (0.0000) S>CV3.1(348) application_data
50 22 0.9927 (0.0000) S>CV3.1(436) application_data
50 23 0.9927 (0.0000) S>CV3.1(379) application_data
50 24 0.9927 (0.0000) S>CV3.1(409) application_data
50 25 0.9927 (0.0000) S>CV3.1(30) application_data
50 26 1.2111 (0.2183) C>SV3.1(27) application_data
50 27 1.2113 (0.0002) S>CV3.1(18) Alert
50 1.2113 (0.0000) S>C TCP FIN
50 1.2114 (0.0001) C>S TCP FINи не работающего TB
Код:
New TCP connection #49: dynamicip-х-х-х-х.pppoe.chel.ertelecom.ru(2007) <-> х.х.х.х(636)
49 1 0.0884 (0.0884) C>SV3.1(165) Handshake
ClientHello
Version 3.1
random[32]=
51 94 fa 83 b6 24 14 ca 62 e4 9a 11 06 38 b2 6d
ec b9 fb 1e 56 b0 84 36 26 f6 69 03 18 2b 32 ff
cipher suites
Unknown value 0xff
Unknown value 0xc00a
Unknown value 0xc014
Unknown value 0x88
Unknown value 0x87
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_DSS_WITH_AES_256_CBC_SHA
Unknown value 0xc00f
Unknown value 0xc005
Unknown value 0x84
TLS_RSA_WITH_AES_256_CBC_SHA
Unknown value 0xc007
Unknown value 0xc009
Unknown value 0xc011
Unknown value 0xc013
Unknown value 0x45
Unknown value 0x44
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
Unknown value 0xc00c
Unknown value 0xc00e
Unknown value 0xc002
Unknown value 0xc004
Unknown value 0x96
Unknown value 0x41
TLS_RSA_WITH_RC4_128_SHA
TLS_RSA_WITH_RC4_128_MD5
TLS_RSA_WITH_AES_128_CBC_SHA
Unknown value 0xc008
Unknown value 0xc012
TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
Unknown value 0xc00d
Unknown value 0xc003
Unknown value 0xfeff
TLS_RSA_WITH_3DES_EDE_CBC_SHA
compression methods
NULL
49 2 0.0886 (0.0001) S>CV3.1(74) Handshake
ServerHello
Version 3.1
random[32]=
51 94 fa 75 41 c7 30 aa 5f d7 4f 5d 1f 52 63 ca
5f 59 5c 00 1d 93 8b 90 82 16 0f c4 c3 52 24 00
session_id[32]=
b3 99 6e 1a 62 8c ec 31 35 b3 16 3b 6c fd a1 bb
89 4c 28 86 9f 44 89 c4 f4 3f f0 19 27 01 cc 86
cipherSuite Unknown value 0x84
compressionMethod NULL
49 3 0.0886 (0.0000) S>CV3.1(1594) Handshake
Certificate
49 4 0.1805 (0.0919) S>CV3.1(4) Handshake
ServerHelloDone
49 5 0.1810 (0.0005) C>SV3.1(2) Alert
level fatal
value bad_certificate
49 0.1811 (0.0000) S>C TCP FIN
49 4.1250 (3.9438) C>S TCP RSTне понимаю в чем же там ошибка.
wolverin
bad_certificate
тут надо разобраться почему не принимает сертификат.
я бы покопал 1 в направлении подтверждения (может по какойто причине проверка заканчивается фейлом,связи нет или ещё что) 2 в направлении самого сертификата - может в нем чегото не хватает или при установке встаёт не так как надо.
может при обмене чтото не отсылается или отсылается неверно.
тут надо разобраться почему не принимает сертификат.
да вот как разобраться то!?
ОЕ стоит на той же машине и в нем все работает, да и вообще ОЕ везде работает где он стоит - достаточно СА сертификат в центры сертификации добавить.
А вот что может в сертификате не хватать тоже понять не могу, т.к. вроде создавал их по примерам других.
Могу оба СА и сервера открытых выложить если нужно.
ЗЫ. У меня только одна мысль - ТВ использует сертификат с 443 порта, на 636 который естественно ДРУГОЙ хотя и имя серверов одинаковое, однако пробовал без первого - безрезультатно.
17-05-2013 07:51:28
ТВ использует сертификат с 443 порта, на 636 который естественно ДРУГОЙ
да и исключение к 636 порту не добавляется никак.
wolverin
Лог похож на http://redmine.lighttpd.net/boards/2/topics/3515. Какой cipher-list включён на сервере?
да и исключение к 636 порту не добавляется никак.
ldaps подразумевает порт 443, полагаю. надо писать ldap://host:636.
17-05-2013 10:35:12
Или просто добавить корневой сертификат с диска руками в доверенные корневые центры.
Или просто добавить корневой сертификат с диска руками в доверенные корневые центры.
добавлял и корневой и для сервера подписаный корневым ОЕ работает, ТВ - нет.
по ссылке написано что возможно баг веб сервера.
ldaps подразумевает 636 порт, ldap://host:636 так тоже ничего не находит.
Какой cipher-list включён на сервере?
а это как посмотреть? ставил все стандартно из репозетория.
wolverin
В Thunderbird: Настройки -> Дополнительные -> Общие -> Редактор настроек
Отфильтруй по security.enable и security.ssl3 и установи все параметры, имеющие значение false, в true.
Отфильтруй по security.enable и security.ssl3 и установи все параметры, имеющие значение false, в true.
частично пробовал так, сейчас снова все выставил - ничего не меняется в дампе
Код:
cipherSuite Unknown value 0x84
compressionMethod NULL
59 3 0.0965 (0.0000) S>CV3.1(1594) Handshake
Certificate
59 4 0.1929 (0.0964) S>CV3.1(4) Handshake
ServerHelloDone
59 5 0.1980 (0.0050) C>SV3.1(2) Alert
level fatal
value bad_certificate
59 0.1981 (0.0000) S>C TCP FIN
59 2.8301 (2.6320) C>S TCP RSTчто за cipherSuite Unknown value 0x84 - может как то отключить его в ТВ?
wolverin
А если установить security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref в true?
security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref в true
не помогает (
нашел в мозиле Консоль ошибок, вот что там появляется после обращение к адресной книге
Код:
Метка времени: 17.05.2013 16:09:17
Ошибка: An error occurred updating the cmd_delete command: [Exception... "'[JavaScript Error: "cards[i] is null" {file: "chrome://messenger/content/addressbook/abResultsPane.js" line: 124}]' when calling method: [nsIController::isCommandEnabled]" nsresult: "0x80570021 (NS_ERROR_XPC_JAVASCRIPT_ERROR_WITH_DETAILS)" location: "JS frame :: chrome://global/content/globalOverlay.js :: goUpdateCommand :: line 75" data: yes]
Источник: chrome://global/content/globalOverlay.js
Строка: 81
Метка времени: 17.05.2013 16:09:17
Ошибка: An
error occurred updating the cmd_chatWithCard command: [Exception... "'[JavaScript Error: "selectedCard is null" {file: "chrome://messenger/content/addressbook/addressbook.js" line: 771}]' when calling method: [nsIController::isCommandEnabled]" nsresult: "0x80570021 (NS_ERROR_XPC_JAVASCRIPT_ERROR_WITH_DETAILS)" location: "JS frame :: chrome://global/content/globalOverlay.js :: goUpdateCommand :: line 75" data: yes]
Источник: chrome://global/content/globalOverlay.js
Строка: 81
При соединении с ххх.ххх.ru:636 произошла ошибка.
Вы получили недействительный сертификат. Обратитесь к администратору сервера или отправьте сообщение по электронной почте тому, от кого вы получили этот сертификат, и сообщите следующую информацию:
Этот сертификат содержит тот же серийный номер, что и один из других сертификатов, выданных тем же центром сертификации. Пожалуйста, получите новый сертификат с уникальным номером.
(Код ошибки: sec_error_reused_issuer_and_serial)пытаюсь понять что ТВ хочет
сразу скажу - в ноде у меня проверка ССЛ отключена и cert8.db и cert_override.txt удалял и добавлял СА по новой - воз и ныне там. Получается sec_error_reused_issuer_and_serial может в ТВ значить все что угодно.
wolverin
В каком релизе это сломалось?
17-05-2013 17:14:55
Ты можешь выложить свой открытый ключ?
wolverin
а сообщение об ошибке если вдуматься смешное - получается кто раньше встал того и тапки.
то есть увидев два сертификата с одинаковыми серийниками тб почемуто считает что тот который ему попался первым и есть настоящий.
в целом сдаётся мне что это баг
как насчет сгенерить второй сертификат для другого порта? мож прокатит такой костыль.
17-05-2013 18:09:26
wolverin
В каком релизе это сломалось?
для удобства вычисления релиза все версии портабельного ТБ
Ты можешь выложить свой открытый ключ?
СА http://file.qip.ru/file/BhSxCg00/cacert.html
Сервера http://file.qip.ru/file/HqYb4En/ldap_cert.html
TB 17.0.6 вчера дообновился. Не могу сказать что перестало работать, т.к. на той версии 3.х где почему то работало - на других машинах повторить не удалось с той же самой версией.
Если вам потребуется и найдется немного времени - я могу и доступ к моему ЛДАПу открыть, просто уже пару месяцев с этой проблемой не могу разобраться.
в целом сдаётся мне что это баг
как насчет сгенерить второй сертификат для другого порта? мож прокатит такой костыль.
Что значит второй сертификат? для ЛДАП я сгенерил СА, потом для сервера и подписал его с помощью СА, просто для веб морды и почты на этом серваке используются другой сертификат, но они же на других портах (25,993,443)
Не совсем уверен что дело в ТВ, т.к. на ломаном MS Office Outlook 2007 тоже не заработало, но с ним я не стал разбираться - на той неделе надеюсь купим 2010 офис и буду писать в их сапорт.
wolverin
Кажется я понял в чём ошибка с "Этот сертификат содержит тот же серийный номер...". И у корневого сертификата cacert.pem, и у сертификата сервера ldap_cert.pem одинаковый серийный номер - 51 4a 92 83. Легко видно после импорта в окно сертификатов IE.
18-05-2013 21:41:32
okkamas_knife
то есть увидев два сертификата с одинаковыми серийниками тб почемуто считает что тот который ему попался первым и есть настоящий.
в целом сдаётся мне что это баг
Thunderbird считает что в одном CA не может быть двух сертификатов с одним и тем же серийным номером.
18-05-2013 21:43:58
https://bugzilla.mozilla.org/show_bug.cgi?id=244276#c11
И у корневого сертификата cacert.pem, и у сертификата сервера ldap_cert.pem одинаковый серийный номер - 51 4a 92 83.
вы правы, перегенерил ldap_cert.pem и все заработало!!! видимо сертификат делается по времени, а скриптом у обоих команд время одинаковое получается ))