[postfix]Certificats : no start line
darkukai
Messages postés
10
Statut
Membre
-
darkukai Messages postés 10 Statut Membre -
darkukai Messages postés 10 Statut Membre -
bonjour,
Je suis toujours sur mon serveur mail qui marche bien mais sur lequel j'essai de mettre un place un rien de sécurité grâce à TLS
ma config
postfix postfix-tls postfix-ldap courier-imap courier-imap-ssl openssl openldap
J'essaie de créer des certificats pour utilisé imap-ssl que je sign avec ma propre autorité de certifications mais cela ne semble pas marché Sad
j'utilise un script qui est censé me faire tout çà
j'ai après chaque signature de certificat l'erreur
Code:
error 7 at 0 depth lookup : certificate signature failure
si je laisse courir et que je l'utilise quand même en cas d'utilisation dans le cadre d'une demande d'authentification j'ai coté client une erreur "TLS required" alors que tout est bien paramétré et coté serveur dans mon mail.info la fameuse :" imapd: courierTLS: /etc/ssl/imapcert.pem: error:0906D06C;PEM routines;PEM_read_bio;no start line
sur le site qui a créer ce script http://ww38.contrib.lynuxsolutions.com/doku.php?id=documentation:mailserver:mail_server_on_debian_gnu_linux-part2
ils ne font pas mention de cette erreur, j'ai donc rechercher une autre méthode pour créer mon autorité et mes certificats et j'ai trouvé une autre méthode
openssl verify me trouve plus d'erreur dans mes certif mais dans mail.info j'ai toujours la même erreur.
Bouuuuhh :(
est ce que quelqu'un est déjà tombé sur ce cas là et pourrai me venir en aide
j'ai farfouillé toute l'aprem dans google et plein de forum et j'en suis a essayer de traduire des topic en hongrois tellement y a pas de solutions a ce problème Sad
d'avance merci à la bonne âme
Je suis toujours sur mon serveur mail qui marche bien mais sur lequel j'essai de mettre un place un rien de sécurité grâce à TLS
ma config
postfix postfix-tls postfix-ldap courier-imap courier-imap-ssl openssl openldap
J'essaie de créer des certificats pour utilisé imap-ssl que je sign avec ma propre autorité de certifications mais cela ne semble pas marché Sad
j'utilise un script qui est censé me faire tout çà
#!/bin/bash rm -rf /usr/local/CA mkdir /usr/local/CA cd /usr/local/CA echo -e " * CERTIFICATION AUTHORITY CERTIFICATE\n=================================================="; # Create Certificate Authority : openssl genrsa -out cakey.pem 4096 chmod 600 /usr/local/CA/cakey.pem openssl req -new -x509 -keyout cakey.pem -out cacert.pem -days 365 echo -e " * SERVICE CERTIFICATE\n=================================================="; echo -e " * LDAP\n========================================"; openssl genrsa -out ldapkey.pem 2048 chmod 600 /usr/local/CA/ldapkey.pem openssl req -new -key ldapkey.pem -out ldapcert.req # Sign the key openssl x509 -req -in ldapcert.req -out ldapcert.pem -CA cacert.pem -CAkey cakey.pem -days 365 -CAcreateserial echo -e " * VERIFICATION\n================================"; openssl verify -CAfile /usr/local/CA/cacert.pem /usr/local/CA/ldapcert.pem echo -e " * SMTP\n========================================"; openssl genrsa -out smtpkey.pem 2048 && chmod 600 /usr/local/CA/smtpkey.pem openssl req -new -key smtpkey.pem -out smtpcert.req # Sign the key openssl x509 -req -in smtpcert.req -out smtpcert.pem -CA cacert.pem -CAkey cakey.pem -days 365 -CAcreateserial echo -e " * VERIFICATION\n================================"; openssl verify -CAfile /usr/local/CA/cacert.pem /usr/local/CA/smtpcert.pem echo -e " * COURIER-IMAP\n========================================"; openssl genrsa -out imapkey.pem 2048 && chmod 600 /usr/local/CA/imapkey.pem openssl req -new -key imapkey.pem -out imapcert.req # Sign the key openssl x509 -req -in imapcert.req -out imapcert.pem -CA cacert.pem -CAkey cakey.pem -days 365 -CAcreateserial echo -e " * VERIFICATION\n================================"; openssl verify -CAfile /usr/local/CA/cacert.pem /usr/local/CA/imapcert.pem # Courier-imap needs certificate and private key in the same file : cat imapcert.pem imapkey.pem >> imap.pem echo -e " * APACHE\n========================================"; openssl genrsa -out apachekey.pem 2048 && chmod 600 /usr/local/CA/apachekey.pem openssl req -new -key apachekey.pem -out apachecert.req # Sign the key openssl x509 -req -in apachecert.req -out apachecert.pem -CA cacert.pem -CAkey cakey.pem -days 365 -CAcreateserial echo -e " * VERIFICATION\n================================"; openssl verify -CAfile /usr/local/CA/cacert.pem /usr/local/CA/apachecert.pem echo -e " * APACHELDAP\n========================================"; openssl genrsa -out apacheldapkey.pem 2048 && chmod 600 /usr/local/CA/apacheldapkey.pem openssl req -new -key apacheldapkey.pem -out apacheldapcert.req # Sign the key openssl x509 -req -in apacheldapcert.req -out apacheldapcert.pem -CA cacert.pem -CAkey cakey.pem -days 365 -CAcreateserial echo -e " * VERIFICATION\n================================"; openssl verify -CAfile /usr/local/CA/cacert.pem /usr/local/CA/apacheldapcert.pem rm *.req
j'ai après chaque signature de certificat l'erreur
Code:
error 7 at 0 depth lookup : certificate signature failure
si je laisse courir et que je l'utilise quand même en cas d'utilisation dans le cadre d'une demande d'authentification j'ai coté client une erreur "TLS required" alors que tout est bien paramétré et coté serveur dans mon mail.info la fameuse :" imapd: courierTLS: /etc/ssl/imapcert.pem: error:0906D06C;PEM routines;PEM_read_bio;no start line
sur le site qui a créer ce script http://ww38.contrib.lynuxsolutions.com/doku.php?id=documentation:mailserver:mail_server_on_debian_gnu_linux-part2
ils ne font pas mention de cette erreur, j'ai donc rechercher une autre méthode pour créer mon autorité et mes certificats et j'ai trouvé une autre méthode
openssl verify me trouve plus d'erreur dans mes certif mais dans mail.info j'ai toujours la même erreur.
Bouuuuhh :(
est ce que quelqu'un est déjà tombé sur ce cas là et pourrai me venir en aide
j'ai farfouillé toute l'aprem dans google et plein de forum et j'en suis a essayer de traduire des topic en hongrois tellement y a pas de solutions a ce problème Sad
d'avance merci à la bonne âme
A voir également:
- [postfix]Certificats : no start line
- [Postfix] : Délai queue des messages - Forum Mail
- Problème de certificats de sécurité ✓ - Forum Windows
- FileZilla FTPS les certificats - Forum Logiciels
- [Wifi] Sécurité sans certificats ? ✓ - Forum WiFi
- En tete mail maildir postfix ✓ - Forum Redhat
1 réponse
Alors voila j'ai pas mal avancé et je suis tombé sur un post explicant qu'en copiant les contenu du fichier key.pem à la fin du cert.pem cela marchait alors pas bête la bête j'ai tester et effectivement y a du mieux
me demandé surtout pas le pourquoi du comment :)
Bon du coup j'avais plus la même erreur: je me retrouvai avec un SSL3 error Wrong version
après quelques recherches j'ai vu que le client mail "evolution" de ma ubuntu avait un bug justement sur l'utilisation de TLS1 que je suis censé utilisé et que lui forcait en SSLv3 donc ah pas bon !
J'ai installé un petit Kmail sur ma ubuntu et là ohhh miracle çà marche :) :) :)
par contre l'authentification SMPT-saslauth ne fonctionne pas sur Kmail mais bien sur Evolution !!!
Grrrrr donc je repart en guerre :)
le message de Kmail :
bouuuh et j'ai rien dans mes logs sur mon serveur de mail
par contre je comfirme qu'evolution lui peut s'authentifier sans problème :(
me demandé surtout pas le pourquoi du comment :)
Bon du coup j'avais plus la même erreur: je me retrouvai avec un SSL3 error Wrong version
après quelques recherches j'ai vu que le client mail "evolution" de ma ubuntu avait un bug justement sur l'utilisation de TLS1 que je suis censé utilisé et que lui forcait en SSLv3 donc ah pas bon !
J'ai installé un petit Kmail sur ma ubuntu et là ohhh miracle çà marche :) :) :)
par contre l'authentification SMPT-saslauth ne fonctionne pas sur Kmail mais bien sur Evolution !!!
Grrrrr donc je repart en guerre :)
le message de Kmail :
darkukai@darkukai-laptop:~$ kmail: ERROR: : couldn't create slave : Unable to create io-slave: klauncher said: Unknown protocol 'smtp'. kmail:
bouuuh et j'ai rien dans mes logs sur mon serveur de mail
par contre je comfirme qu'evolution lui peut s'authentifier sans problème :(
