Conexão ssl e Certificado [Resolvido]

stefaniobrunhara
(usa CentOS)

Enviado em 22/12/2012 - 18:17h

Estou com a a seguinte situação, eu tenho um servidor www/email mandriva 2011

Posftix+Mysql+Spamassassin+Amavisd-new+Courier+Postfixamin+Squirrelmail+Quota+SPF+Postgrey etc...

Rodando tudo 100% com todos os pacotes originais da distribuição sem precisar recompilar nada. O que acontece?

Quando um usuário de email configura outlook para receber email usando porta 995 ssl ele reclama que não tem certificado, entao eu clico no botao sim para continuar usando este servidor e recebo os email.

Como posso criar um certifacado para não mostrar mais esta mensagem?


O que eu fiz como tentativa!

Criei um certificado configurei meu apache para aceitar ssl e quando abro o site com o nome do meu servidor ele diz que o certificado que eu criei não é seguro, ate ai tudo bem, então eu importo este certificado e coloco ele em Autoridades de Certificados Raiz Confiaveis fecho o navegador abro de novo, então o browse passa a trabalhar com o meu certificado, somente da um mensagens dizendo se eu quero mostrar o conteudo todo mas abre o site etc.. e vejo que o https esta presente no link.

Ai pensei, o outlook não deveria esta usando este certificado, uma vez que eu importei ele com o mesmo nome que ele reclama no recebimento dos emails?


Alguém poderia me orientar melhor com relação a uso de certificados?

andrecanhadas
(usa Debian)

Enviado em 22/12/2012 - 19:19h

Da uma lida ve se te ajuda:

http://www.servidordebian.org/pt/squeeze/intranet/ssl_cert/self_signed

http://www.andrecanhadas.com.br/?p=386


Depois de gerar os certificados como 1 link faça o segundo passo:

Outro:
http://seassis.blogspot.com.br/2011/08/configurar-ssl-ubuntu-ocs-inventory-ng.html

stefaniobrunhara
(usa CentOS)

Enviado em 22/12/2012 - 21:39h

Bacana, eu fiz praticamente isto, mas o seus links estão melhor pois a explicação dos passos são detalhadas.


Vou testar depois posto aqui o resultado.

muito obrigado!

andrecanhadas
(usa Debian)

Enviado em 22/12/2012 - 21:51h

Basicamente é isto você gera o certificado com o CN do nome de pop ou imap que usa no outlook como pop.meudominio.com.br e instala ele no seu postfix/dovecot (Se precisar de vários veja como gerar um multi domain) ou *.dominio

Depois gerar o root certificate e instala nas maquinas que precisa.

Com isso seu postfix vai passar o certificado do seu dominio e o root instalado nas maquinas diz que ele é seguro/ confiável.

stefaniobrunhara
(usa CentOS)

Enviado em 27/12/2012 - 14:29h

Andre, ainda não consegui!

Neste link http://www.andrecanhadas.com.br/?p=386 tem o que preciso

Tentei criar os certificados usando este link

http://www.servidordebian.org/pt/squeeze/intranet/ssl_cert/self_signed

Porém não tem a criação do arquivo .pem então não da para usar a solução do link

http://www.andrecanhadas.com.br/?p=386

Então tentei o terceiro link

http://seassis.blogspot.com.br/2011/08/configurar-ssl-ubuntu-ocs-inventory-ng.html

No final não consegui fazer a ultima coisa que é a copia para o diretório especificado

/etc/ocsinventory-agent/ocsinventory-agent.cfg

Pois eu não tenho isto, procurei como fazer isto no meu mandriva, mas não consegui!

vou instalar o ocsinventory-agent depois, e volto a falar !



Obrigado por enquanto e Boas Festas!!!

andrecanhadas
(usa Debian)

Enviado em 27/12/2012 - 14:37h

Não o OCS é um aplicativo para inventário não é necessário o link é apenas para que veja com gerar o certificado com o CN (Common Name) de seu dominio.

Após gerar basta configurar o postfix para usar ele e gerar o root certificate como passei no meu site e instalar ele nas maquinas com o outlook.

stefaniobrunhara
(usa CentOS)

Enviado em 27/12/2012 - 17:55h

Andre, deu certo! Muito obrigado!

Resumo:

# 1. Gerando chave privada
openssl genrsa -des3 -out cacert.key 2048

# 2. Criando a certificado auto assinado
openssl req -new -x509 -days 3650 -key cacert.key -out cacert.pem

Country Name (2 letter code) [BR]:
State or Province Name (full name) [Minas Gerais]:
Locality Name (eg, city) [Belo Horizonte]:
Organization Name (eg, company) [San Giovanne Informatica Ltda.]:
Organizational Unit Name (eg, section) []:TI
Common Name (eg, your name or your server's hostname) []:http://www.sangiovanne.com.br
Email Address []:estefanio@brunhara.com.br

# 3 Criando o chave do servidor
openssl rsa -in server.key -out server.key

# 4. Gerando o pedido de certificado para o servidor
openssl req -new -key server.key -out server.csr

Country Name (2 letter code) [BR]:
State or Province Name (full name) [Minas Gerais]:
Locality Name (eg, city) [Belo Horizonte]:
Organization Name (eg, company) [San Giovanne Informatica Ltda.]:
Organizational Unit Name (eg, section) []:TI
Common Name (eg, your name or your server's hostname) []:mail.sangiovanne.com.br
Email Address []:estefanio@brunhara.com

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

# 5. Assinando o certificado do seu servidor pela CA pelo periodo de 10 anos
openssl x509 -req -in server.csr -out server.crt -sha1 -CA cacert.pem -CAkey cacert.key -CAcreateserial -days 3650

# 6 exportando a chave para os outlook
openssl x509 -in cacert.pem -outform DER -out ca.der

O resto foi feito como no seu link muito obrigado!

stefaniobrunhara
(usa CentOS)

Enviado em 08/01/2013 - 13:31h

Tentei reproduzir de novo mas descobri, que a mensagem do
outlook na verdade ficou foi oculta, ou seja, continuo com o problema. kkk


esta é a mensagem do outlook
A tarefa 'suporte@sangiovanne.com.br - Recebendo' relatou um erro (0x800CCC1A) : 'Seu servidor não oferece suporte ao tipo de criptografia de conexão especificado. Tente alterar o método de criptografia. Contate o administrador do servidor de email ou o provedor de serviços de Internet para obter mais assistência.'

stefaniobrunhara
(usa CentOS)

Enviado em 11/01/2013 - 09:01h

Pessoal o resumo acima esta correto, no escrever o resumo,eu fiz os teste e troquei o nome do certificado e não alterei o nome do certificado no /etc/courier/pop3d-ssl