Поднял на сервере LDAP каталог, создал SSL сертификаты, импортировал корневой через Internet Explorer, настроил Outlook Express 6.00.2900.5512 через SSL по 636 порту - все ОК!
Делаю тоже самое с Thunderbird 17.0.5 (импортировал корневой в Центры сертификации с полным доверием, настроил работу через SSL) - но подключения не происходит и в логах сервера вижу
slapd[10218]: conn=1008 fd=16 ACCEPT from IP=х.х.х.х:4302 (IP=0.0.0.0:636) slapd[10218]: conn=1008 fd=16 closed (TLS negotiation failure)
что делать? (с)
через 389 Thunderbird работает тоже.
Отредактировано wolverin (14-05-2013 07:32:00)
Отсутствует
заметил такую особенность - у меня для почты на 443 порту поднята веб морда, так вот если указывать в исключениях ldaps://адрес - то почему то находится этот сертификат, а не который на 636 порту.
в таком вариенте https://адрес:636 - исключение вообще не находится, хотя ldapsearch прекрасно работает с сертификатом на этом порту
кривая мозила?
Отредактировано wolverin (16-05-2013 09:01:37)
Отсутствует
хотя ldapsearch прекрасно работает с сертификатом на этом порту
кривая мозила?
Вообще, телепаты в отпуске, но похоже на кривой сертификат. Например, если в нём для подписи используется хэш-функция MD5, то FF и TB принимать его не будут, MD5 в них уже выведен из эксплуатации. Не ваш ли это случай?
Отсутствует
wolverin
http://www.linuxquestions.org/questions … re-903809/ читали?
Do you feel lucky, punk?
Отсутствует
wolverin
http://www.linuxquestions.org/questions … re-903809/ читали?
давно уж как прочитал, автор там так и не написал как решил проблему.
Добавлено 17-05-2013 05:44:59
Вообще, телепаты в отпуске, но похоже на кривой сертификат. Например, если в нём для подписи используется хэш-функция MD5, то FF и TB принимать его не будут, MD5 в них уже выведен из эксплуатации. Не ваш ли это случай?
все может быть
генерил его так
#!/bin/bash certtool --generate-privkey > ./private/cakey.pem certtool --generate-self-signed --load-privkey ./private/cakey.pem --template ca.info --outfile ./certs/cacert.pem certtool --generate-privkey > ./private/ldap_key.pem certtool --generate-certificate --load-privkey ./private/ldap_key.pem --load-ca-certificate ./certs/cacert.pem --load-ca-privkey ./private/cakey.pem --template ldap.info --outfile ./certs/ldap_cert.pem chgrp ssl-cert ./private/ldap_key.pem chmod 640 ./private/ldap_key.pem # !!! Перезапись сертификатов cp -vp ./private/*.pem /etc/ssl/private/ cp -vp ./certs/*.pem /etc/ssl/certs/ c_rehash /etc/ssl/certs/ #ldapmodify -Y EXTERNAL -H ldapi:/// -f tls_enable.ldif /etc/init.d/slapd restart # cat ca.info cn = OOO Бла ca cert_signing_key expiration_days = 3650 # cat ldap.info organization = OOO Бла cn = бла.бла.ru tls_www_server encryption_key signing_key expiration_days = 3650
в самом СА сертификате показывает
Версия V3
Алгоритм подписи sha1RSA
Открытый ключ RSA (2048 Bits)
Алгоритм отпечатка sha
Добавлено 17-05-2013 05:47:38
самое забавное на какой то 3.х версии ТВ у меня заработало вообще без проблем, но на других машинах даже с той же версией запустить не смог ((
Отредактировано wolverin (17-05-2013 05:47:38)
Отсутствует
вот ssldump от работающего OE
New TCP connection #50: dynamicip-х-х-х-х.pppoe.chel.ertelecom.ru(2219) <-> х.х.х.х(636) 50 1 0.0855 (0.0855) C>S SSLv2 compatible client hello Version 3.1 cipher suites TLS_RSA_WITH_RC4_128_MD5 TLS_RSA_WITH_RC4_128_SHA TLS_RSA_WITH_3DES_EDE_CBC_SHA SSL2_CK_RC4 SSL2_CK_3DES SSL2_CK_RC2 TLS_RSA_WITH_DES_CBC_SHA SSL2_CK_DES TLS_RSA_EXPORT1024_WITH_RC4_56_SHA TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA TLS_RSA_EXPORT_WITH_RC4_40_MD5 TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5 SSL2_CK_RC4_EXPORT40 SSL2_CK_RC2_EXPORT40 TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA TLS_DHE_DSS_WITH_DES_CBC_SHA TLS_DHE_DSS_EXPORT1024_WITH_DES_CBC_SHA Unknown value 0xff 50 2 0.0858 (0.0002) S>CV3.1(74) Handshake ServerHello Version 3.1 random[32]= 51 95 8f 63 4d 42 11 46 4c b0 2f c5 cf c5 23 11 78 86 1e e3 69 13 46 bd d3 e5 a6 d1 dd 5e 0e 36 session_id[32]= 21 82 9a 59 3d 83 b8 ef fa c4 11 c1 e9 aa 3b ff ef ed 4b cd 16 4c 14 cd d0 62 23 3b 11 67 ba ba cipherSuite TLS_RSA_WITH_RC4_128_MD5 compressionMethod NULL 50 3 0.0858 (0.0000) S>CV3.1(1594) Handshake Certificate 50 4 0.1821 (0.0962) S>CV3.1(4) Handshake ServerHelloDone 50 5 0.5317 (0.3496) C>SV3.1(262) Handshake ClientKeyExchange EncryptedPreMasterSecret[256]= 3c 69 2c 90 e8 72 d5 98 05 b4 0a 8f dc 75 f0 d6 eb f4 68 34 23 e5 5c 47 b7 02 77 78 3a 75 0d f3 e9 e3 26 37 c8 68 e1 d8 cc 0f c3 fd 38 27 97 9c ....... 50 6 0.5317 (0.0000) C>SV3.1(1) ChangeCipherSpec 50 7 0.5317 (0.0000) C>SV3.1(32) Handshake 50 8 0.5396 (0.0078) S>CV3.1(1) ChangeCipherSpec 50 9 0.5397 (0.0000) S>CV3.1(32) Handshake 50 10 0.7471 (0.2073) C>SV3.1(142) application_data 50 11 0.7475 (0.0004) S>CV3.1(30) application_data 50 12 0.8520 (0.1044) C>SV3.1(713) application_data 50 13 0.9111 (0.0590) S>CV3.1(519) application_data 50 14 0.9112 (0.0001) S>CV3.1(337) application_data 50 15 0.9113 (0.0001) S>CV3.1(677) application_data 50 16 0.9114 (0.0000) S>CV3.1(564) application_data 50 17 0.9119 (0.0004) S>CV3.1(526) application_data 50 18 0.9927 (0.0808) S>CV3.1(288) application_data 50 19 0.9927 (0.0000) S>CV3.1(321) application_data 50 20 0.9927 (0.0000) S>CV3.1(462) application_data 50 21 0.9927 (0.0000) S>CV3.1(348) application_data 50 22 0.9927 (0.0000) S>CV3.1(436) application_data 50 23 0.9927 (0.0000) S>CV3.1(379) application_data 50 24 0.9927 (0.0000) S>CV3.1(409) application_data 50 25 0.9927 (0.0000) S>CV3.1(30) application_data 50 26 1.2111 (0.2183) C>SV3.1(27) application_data 50 27 1.2113 (0.0002) S>CV3.1(18) Alert 50 1.2113 (0.0000) S>C TCP FIN 50 1.2114 (0.0001) C>S TCP FIN
и не работающего TB
New TCP connection #49: dynamicip-х-х-х-х.pppoe.chel.ertelecom.ru(2007) <-> х.х.х.х(636) 49 1 0.0884 (0.0884) C>SV3.1(165) Handshake ClientHello Version 3.1 random[32]= 51 94 fa 83 b6 24 14 ca 62 e4 9a 11 06 38 b2 6d ec b9 fb 1e 56 b0 84 36 26 f6 69 03 18 2b 32 ff cipher suites Unknown value 0xff Unknown value 0xc00a Unknown value 0xc014 Unknown value 0x88 Unknown value 0x87 TLS_DHE_RSA_WITH_AES_256_CBC_SHA TLS_DHE_DSS_WITH_AES_256_CBC_SHA Unknown value 0xc00f Unknown value 0xc005 Unknown value 0x84 TLS_RSA_WITH_AES_256_CBC_SHA Unknown value 0xc007 Unknown value 0xc009 Unknown value 0xc011 Unknown value 0xc013 Unknown value 0x45 Unknown value 0x44 TLS_DHE_RSA_WITH_AES_128_CBC_SHA TLS_DHE_DSS_WITH_AES_128_CBC_SHA Unknown value 0xc00c Unknown value 0xc00e Unknown value 0xc002 Unknown value 0xc004 Unknown value 0x96 Unknown value 0x41 TLS_RSA_WITH_RC4_128_SHA TLS_RSA_WITH_RC4_128_MD5 TLS_RSA_WITH_AES_128_CBC_SHA Unknown value 0xc008 Unknown value 0xc012 TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA Unknown value 0xc00d Unknown value 0xc003 Unknown value 0xfeff TLS_RSA_WITH_3DES_EDE_CBC_SHA compression methods NULL 49 2 0.0886 (0.0001) S>CV3.1(74) Handshake ServerHello Version 3.1 random[32]= 51 94 fa 75 41 c7 30 aa 5f d7 4f 5d 1f 52 63 ca 5f 59 5c 00 1d 93 8b 90 82 16 0f c4 c3 52 24 00 session_id[32]= b3 99 6e 1a 62 8c ec 31 35 b3 16 3b 6c fd a1 bb 89 4c 28 86 9f 44 89 c4 f4 3f f0 19 27 01 cc 86 cipherSuite Unknown value 0x84 compressionMethod NULL 49 3 0.0886 (0.0000) S>CV3.1(1594) Handshake Certificate 49 4 0.1805 (0.0919) S>CV3.1(4) Handshake ServerHelloDone 49 5 0.1810 (0.0005) C>SV3.1(2) Alert level fatal value bad_certificate 49 0.1811 (0.0000) S>C TCP FIN 49 4.1250 (3.9438) C>S TCP RST
не понимаю в чем же там ошибка.
Отсутствует
wolverin
bad_certificate
тут надо разобраться почему не принимает сертификат.
я бы покопал 1 в направлении подтверждения (может по какойто причине проверка заканчивается фейлом,связи нет или ещё что) 2 в направлении самого сертификата - может в нем чегото не хватает или при установке встаёт не так как надо.
может при обмене чтото не отсылается или отсылается неверно.
я помню те времена когда обновления программ убирали проблемы и исправляли баги, а не добавляли их.
toxID:05AB9B827D896AACEE7FF4573A02FB8F025F46ADC856B98F65BC1BA9BD21A81DC98BA9C36CE3
Отсутствует
тут надо разобраться почему не принимает сертификат.
да вот как разобраться то!?
ОЕ стоит на той же машине и в нем все работает, да и вообще ОЕ везде работает где он стоит - достаточно СА сертификат в центры сертификации добавить.
А вот что может в сертификате не хватать тоже понять не могу, т.к. вроде создавал их по примерам других.
Могу оба СА и сервера открытых выложить если нужно.
ЗЫ. У меня только одна мысль - ТВ использует сертификат с 443 порта, на 636 который естественно ДРУГОЙ хотя и имя серверов одинаковое, однако пробовал без первого - безрезультатно.
Добавлено 17-05-2013 07:51:28
ТВ использует сертификат с 443 порта, на 636 который естественно ДРУГОЙ
да и исключение к 636 порту не добавляется никак.
Отредактировано wolverin (17-05-2013 07:51:28)
Отсутствует
wolverin
Лог похож на http://redmine.lighttpd.net/boards/2/topics/3515. Какой cipher-list включён на сервере?
да и исключение к 636 порту не добавляется никак.
ldaps подразумевает порт 443, полагаю. надо писать ldap://host:636.
Добавлено 17-05-2013 10:35:12
Или просто добавить корневой сертификат с диска руками в доверенные корневые центры.
Отредактировано banbot (17-05-2013 10:35:12)
Do you feel lucky, punk?
Отсутствует
Или просто добавить корневой сертификат с диска руками в доверенные корневые центры.
добавлял и корневой и для сервера подписаный корневым ОЕ работает, ТВ - нет.
по ссылке написано что возможно баг веб сервера.
ldaps подразумевает 636 порт, ldap://host:636 так тоже ничего не находит.
Какой cipher-list включён на сервере?
а это как посмотреть? ставил все стандартно из репозетория.
Отредактировано wolverin (17-05-2013 12:59:08)
Отсутствует
wolverin
В Thunderbird: Настройки -> Дополнительные -> Общие -> Редактор настроек
Отфильтруй по security.enable и security.ssl3 и установи все параметры, имеющие значение false, в true.
Do you feel lucky, punk?
Отсутствует
Отфильтруй по security.enable и security.ssl3 и установи все параметры, имеющие значение false, в true.
частично пробовал так, сейчас снова все выставил - ничего не меняется в дампе
cipherSuite Unknown value 0x84 compressionMethod NULL 59 3 0.0965 (0.0000) S>CV3.1(1594) Handshake Certificate 59 4 0.1929 (0.0964) S>CV3.1(4) Handshake ServerHelloDone 59 5 0.1980 (0.0050) C>SV3.1(2) Alert level fatal value bad_certificate 59 0.1981 (0.0000) S>C TCP FIN 59 2.8301 (2.6320) C>S TCP RST
что за cipherSuite Unknown value 0x84 - может как то отключить его в ТВ?
Отсутствует
security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref в true
не помогает (
нашел в мозиле Консоль ошибок, вот что там появляется после обращение к адресной книге
Метка времени: 17.05.2013 16:09:17 Ошибка: An error occurred updating the cmd_delete command: [Exception... "'[JavaScript Error: "cards[i] is null" {file: "chrome://messenger/content/addressbook/abResultsPane.js" line: 124}]' when calling method: [nsIController::isCommandEnabled]" nsresult: "0x80570021 (NS_ERROR_XPC_JAVASCRIPT_ERROR_WITH_DETAILS)" location: "JS frame :: chrome://global/content/globalOverlay.js :: goUpdateCommand :: line 75" data: yes] Источник: chrome://global/content/globalOverlay.js Строка: 81 Метка времени: 17.05.2013 16:09:17 Ошибка: An error occurred updating the cmd_chatWithCard command: [Exception... "'[JavaScript Error: "selectedCard is null" {file: "chrome://messenger/content/addressbook/addressbook.js" line: 771}]' when calling method: [nsIController::isCommandEnabled]" nsresult: "0x80570021 (NS_ERROR_XPC_JAVASCRIPT_ERROR_WITH_DETAILS)" location: "JS frame :: chrome://global/content/globalOverlay.js :: goUpdateCommand :: line 75" data: yes] Источник: chrome://global/content/globalOverlay.js Строка: 81 При соединении с ххх.ххх.ru:636 произошла ошибка. Вы получили недействительный сертификат. Обратитесь к администратору сервера или отправьте сообщение по электронной почте тому, от кого вы получили этот сертификат, и сообщите следующую информацию: Этот сертификат содержит тот же серийный номер, что и один из других сертификатов, выданных тем же центром сертификации. Пожалуйста, получите новый сертификат с уникальным номером. (Код ошибки: sec_error_reused_issuer_and_serial)
пытаюсь понять что ТВ хочет
Отсутствует
сразу скажу - в ноде у меня проверка ССЛ отключена и cert8.db и cert_override.txt удалял и добавлял СА по новой - воз и ныне там. Получается sec_error_reused_issuer_and_serial может в ТВ значить все что угодно.
Отсутствует
wolverin
В каком релизе это сломалось?
Добавлено 17-05-2013 17:14:55
Ты можешь выложить свой открытый ключ?
Отредактировано banbot (17-05-2013 17:14:55)
Do you feel lucky, punk?
Отсутствует
wolverin
а сообщение об ошибке если вдуматься смешное - получается кто раньше встал того и тапки.
то есть увидев два сертификата с одинаковыми серийниками тб почемуто считает что тот который ему попался первым и есть настоящий.
в целом сдаётся мне что это баг
как насчет сгенерить второй сертификат для другого порта? мож прокатит такой костыль.
Добавлено 17-05-2013 18:09:26
wolverin
В каком релизе это сломалось?
для удобства вычисления релиза все версии портабельного ТБ
Отредактировано okkamas_knife (17-05-2013 18:09:26)
я помню те времена когда обновления программ убирали проблемы и исправляли баги, а не добавляли их.
toxID:05AB9B827D896AACEE7FF4573A02FB8F025F46ADC856B98F65BC1BA9BD21A81DC98BA9C36CE3
Отсутствует
Ты можешь выложить свой открытый ключ?
СА http://file.qip.ru/file/BhSxCg00/cacert.html
Сервера http://file.qip.ru/file/HqYb4En/ldap_cert.html
TB 17.0.6 вчера дообновился. Не могу сказать что перестало работать, т.к. на той версии 3.х где почему то работало - на других машинах повторить не удалось с той же самой версией.
Если вам потребуется и найдется немного времени - я могу и доступ к моему ЛДАПу открыть, просто уже пару месяцев с этой проблемой не могу разобраться.
в целом сдаётся мне что это баг
как насчет сгенерить второй сертификат для другого порта? мож прокатит такой костыль.
Что значит второй сертификат? для ЛДАП я сгенерил СА, потом для сервера и подписал его с помощью СА, просто для веб морды и почты на этом серваке используются другой сертификат, но они же на других портах (25,993,443)
Не совсем уверен что дело в ТВ, т.к. на ломаном MS Office Outlook 2007 тоже не заработало, но с ним я не стал разбираться - на той неделе надеюсь купим 2010 офис и буду писать в их сапорт.
Отредактировано wolverin (18-05-2013 08:45:13)
Отсутствует
wolverin
Кажется я понял в чём ошибка с "Этот сертификат содержит тот же серийный номер...". И у корневого сертификата cacert.pem, и у сертификата сервера ldap_cert.pem одинаковый серийный номер - 51 4a 92 83. Легко видно после импорта в окно сертификатов IE.
Добавлено 18-05-2013 21:41:32
okkamas_knife
то есть увидев два сертификата с одинаковыми серийниками тб почемуто считает что тот который ему попался первым и есть настоящий.
в целом сдаётся мне что это баг
Thunderbird считает что в одном CA не может быть двух сертификатов с одним и тем же серийным номером.
Добавлено 18-05-2013 21:43:58
https://bugzilla.mozilla.org/show_bug.cgi?id=244276#c11
Отредактировано banbot (18-05-2013 21:43:58)
Do you feel lucky, punk?
Отсутствует
И у корневого сертификата cacert.pem, и у сертификата сервера ldap_cert.pem одинаковый серийный номер - 51 4a 92 83.
вы правы, перегенерил ldap_cert.pem и все заработало!!! видимо сертификат делается по времени, а скриптом у обоих команд время одинаковое получается ))
Отсутствует