Tham gia Đăng nhập
Điểm:1
xdnroot avatar Server

IMAP và SMTP Vẫn sử dụng SSL Tự ký ngay cả khi tôi đã cấp SSL Máy chủ Thư trong Cyberpanel

lá cờ iq
xdnroot

Tôi sử dụng cyberpanel trên CentOS 7 và tôi thiết lập SSL cho postfix và dovecot của mình. Nhưng tôi vẫn nhận được "SSL Invalid" gây ra SSL tự ký ngay cả khi tôi đã định cấu hình SSL bằng Lets Encrypt.

Đây là /etc/postfix/main.cf

smtpd_tls_cert_file = /etc/letsencrypt/live/mail.domain.net/fullchain.pem
smtpd_tls_key_file = /etc/letsencrypt/live/mail.domain.net/privkey.pem

Đây là /etc/dovecot/dovecot.conf

ssl_cert = </etc/letsencrypt/live/mail.domain.net/fullchain.pem
ssl_key = </etc/letsencrypt/live/mail.domain.net/privkey.pem
....
local_name mail.domain.net {
        ssl_cert = </etc/letsencrypt/live/mail.domain.net/fullchain.pem
        ssl_key = </etc/letsencrypt/live/mail.domain.net/privkey.pem
}

local_name mail.sub.domain.net {
        ssl_cert = </etc/letsencrypt/live/mail.sub.domain.net/fullchain.pem
        ssl_key = </etc/letsencrypt/live/mail.sub.domain.net/privkey.pem
}

Đây là /etc/dovecot/conf.d/10-ssl.conf

ssl = bắt buộc
ssl_cert = </etc/letsencrypt/live/mail.domain.net/fullchain.pem
ssl_key = </etc/letsencrypt/live/mail.domain.net/privkey.pem

Tất cả các tệp đã trỏ đến tệp SSL chính xác. Tuy nhiên, khi tôi đang cố đăng nhập IMAP và SMTP bằng SSL, tôi gặp lỗi: Chứng chỉ tự ký không hợp lệ SSL www.example.com (không phải mail.domain.net).

Khi tôi kiểm tra bằng lệnh: openssl s_client -servername mail.domain.net -connect mail.domain.net:993

ĐÃ KẾT NỐI(00000003)
depth=0 C = US, ST = Denial, L = Springfield, O = Dis, CN = www.example.com
xác minh lỗi: num=18: chứng chỉ tự ký
xác minh trả lại: 1
depth=0 C = US, ST = Denial, L = Springfield, O = Dis, CN = www.example.com
xác minh trả lại: 1
---
Chuỗi chứng chỉ
 0 s:/C=US/ST=Denial/L=Springfield/O=Dis/CN=www.example.com
   i:/C=US/ST=Denial/L=Springfield/O=Dis/CN=www.example.com
---
Chứng chỉ máy chủ
-----BẮT ĐẦU GIẤY CHỨNG NHẬN----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=
-----GIẤY CHỨNG NHẬN KẾT THÚC-----
chủ đề=/C=US/ST=Denial/L=Springfield/O=Dis/CN=www.example.com
nhà phát hành=/C=US/ST=Denial/L=Springfield/O=Dis/CN=www.example.com
---
Không có tên CA chứng chỉ ứng dụng khách nào được gửi
Thông báo ký ngang hàng: SHA512
Khóa tạm thời máy chủ: ECDH, P-256, 256 bit
---
Bắt tay SSL đã đọc 1590 byte và ghi 441 byte
---
Mới, TLSv1/SSLv3, Mật mã là ECDHE-RSA-AES256-GCM-SHA384
Khóa công khai của máy chủ là 2048 bit
Đàm phán lại an toàn IS được hỗ trợ
Nén: KHÔNG CÓ
Mở rộng: KHÔNG CÓ
Không có ALPN nào được thương lượng
Phiên SSL:
    Giao thức: TLSv1.2
    Mã: ECDHE-RSA-AES256-GCM-SHA384
    ID phiên: 88F2CCFDE63FE391E9824F596E0C8300E44CB306F969E2A1C0AFE3B75E5A4D74
    Phiên-ID-ctx: 
    Khóa chính: E22198E25F15AA193B9E73446CB934276DF90987DFC75B1B74DDAF3247CA8436CDB93B3274102188B3470DF1A4EFB0D1
    Key-Arg : Không có
    Hiệu trưởng Krb5: Không
    Danh tính PSK: Không có
    Gợi ý nhận dạng PSK: Không có
    Gợi ý thời gian tồn tại của vé phiên TLS: 300 (giây)
    Vé phiên TLS:
    0000 - e6 78 ae 14 e1 04 0d b4-64 82 65 9e 14 ad 32 9c .x......d.e...2.
    0010 - f3 f0 c2 fd f9 12 5b bf-0f 50 75 79 64 5c bb ba ......[..Puyd\..
    0020 - 31 f6 37 bd 1c b2 e7 dc-d9 02 c7 53 f4 f9 0c a6 1.7........S....
    0030 - d4 51 6a 60 6b 34 04 41-fd b3 7d 53 14 ff 1d b4 .Qj`k4.A..}S....
    0040 - a2 82 67 6e da d7 80 02-b0 9f 6d 82 b4 17 72 cf ..gn......m...r.
    0050 - 30 05 54 fc 8c be 60 6d-e5 0f b8 25 04 f3 43 6d 0.T...`m...%..Cm
    0060 - 7e 13 f1 85 02 03 90 a2-50 82 64 43 aa 79 b8 ee ~.......P.dC.y..
    0070 - 86 08 ef 7a ac 4b c7 86-57 bc 09 a4 9a bb 23 92 ...z.K..W.....#.
    0080 - cb 18 74 a4 90 c5 b1 8b-39 3c cc 69 ee e8 fb 08 ..t.....9<.i....
    0090 - 60 93 ea 17 35 d5 58 0d-ee 1b 68 c2 98 d0 e9 9c `...5.X...h.....
    00a0 - f5 a7 24 9b 29 0a 48 6b-70 f8 a5 9a 7c e5 e8 88 ..$.).Hkp...|...

    Thời gian bắt đầu: 1624855926
    Thời gian chờ: 300 (giây)
    Xác minh mã trả lại: 18 (chứng chỉ tự ký)
---
+OK Dovecot đã sẵn sàng.

Đây là đăng nhập trên máy chủ thư. hậu tố trạng thái systemctl -l

230, bắt tay TLS: SSL_accept() không thành công: lỗi:14094416:SSL routines:ssl3_read_bytes:sslv3 chứng chỉ cảnh báo không xác định: cảnh báo SSL số 46, phiên=<RLYR5sLFeh62/Xx7>
Ngày 28 tháng 6 00:42:37 mail-domain-net dovecot[574952]: imap-login: Disconnected (không có lần xác thực nào trong 0 giây): user=<>, rip=182.253.XXX.XXX, lip=10.5.224.230, Bắt tay TLS: SSL_accept() không thành công: lỗi:14094416:SSL routines:ssl3_read_bytes:sslv3 chứng chỉ cảnh báo không xác định: cảnh báo SSL số 46, phiên=<WF4U5sLFlym2/Xx7>
Ngày 28 tháng 6 00:42:38 mail-domain-net dovecot[574952]: imap-login: Disconnected (không có lần xác thực nào trong 0 giây): user=<>, rip=182.253.XXX.XXX, lip=10.5.224.230, Bắt tay TLS: SSL_accept() không thành công: lỗi:14094416:SSL routines:ssl3_read_bytes:sslv3 chứng chỉ cảnh báo không xác định: cảnh báo SSL số 46, phiên=<nasX5sLFoim2/Xx7>
Ngày 28 tháng 6 00:42:38 mail-domain-net dovecot[574952]: imap-login: Disconnected (không có lần xác thực nào trong 0 giây): user=<>, rip=182.253.XXX.XXX, lip=10.5.224.230, Bắt tay TLS: SSL_accept() không thành công: lỗi:14094416:SSL routines:ssl3_read_bytes:sslv3 chứng chỉ cảnh báo không xác định: cảnh báo SSL số 46, phiên=<BFYY5sLFrCm2/Xx7>
Ngày 28 tháng 6 00:42:38 mail-domain-net dovecot[574952]: imap-login: Disconnected (không có lần xác thực nào trong 0 giây): user=<>, rip=182.253.XXX.XXX, lip=10.5.224.230, Bắt tay TLS: SSL_accept() không thành công: lỗi:14094416:SSL routines:ssl3_read_bytes:sslv3 chứng chỉ cảnh báo không xác định: cảnh báo SSL số 46, phiên=<YQkZ5sLFrSm2/Xx7>

Xin hãy giúp tôi, tôi nên kiểm tra tập tin hoặc cấu hình nào.

1299
1 + 10
xu
lá cờ jp
Dom
Bạn thấy vấn đề tự ký ở đâu trong nhật ký? Tôi thấy một ứng dụng khách trong SSLv3, nên bị cấm vì công nghệ lỗi thời
1
Hồi đáp
vidarlo avatar
lá cờ ar
vidarlo
Bạn đã khởi động lại dovecot và postfix sau khi cập nhật chứng chỉ chưa? Đầu ra của `openssl s_client -starttls smtp -showcerts -connect mail.domain.net:25` là gì? Nếu bạn không biên tập tên miền, những người ở đây có thể thực hiện kiểm tra như vậy cho bạn và đưa ra câu trả lời...
0
Hồi đáp
djdomi avatar
lá cờ za
djdomi
ssl_cert =
0
Hồi đáp
xdnroot avatar
lá cờ iq
xdnroot
@Dom Tôi thấy lỗi đó trong ứng dụng GMAIL và trong thư viện imaplib của python.
0
Hồi đáp
xdnroot avatar
lá cờ iq
xdnroot
@vidarlo vâng, tôi đã khởi động lại dovecot và postfix sau khi cập nhật cấu hình và chứng chỉ. Tuy nhiên, đầu ra của openssl s_client -starttls smtp -showcerts -connect mail.domain.net:25 vẫn sử dụng www.example.com (chứng chỉ tự ký).
0
Hồi đáp
xdnroot avatar
lá cờ iq
xdnroot
@djdomi vâng, có chuyện gì vậy?
0
Hồi đáp
djdomi avatar
lá cờ za
djdomi
@xdnroot `ssl_cert = *
0
Hồi đáp
xdnroot avatar
lá cờ iq
xdnroot
@djdomi Tôi chỉ tuân theo định dạng cấu hình mặc định và nó đã được xác nhận trong tài liệu này: https://doc.dovecot.org/configuration_manual/dovecot_ssl_configuration/
0
Hồi đáp
djdomi avatar
lá cờ za
djdomi
hành vi kỳ lạ, chưa bao giờ thấy một cái gì đó như thế
0
Hồi đáp
Paul avatar
lá cờ cn
Paul
Bạn đã thử bất kỳ hỗ trợ CyberPanel nào chưa?
0
Hồi đáp
Điểm:0
xdnroot avatar Server
lá cờ iq
xdnroot

Tôi đã giải quyết vấn đề đó bằng cách thực hiện các nội dung sau:

1. Định cấu hình Bản ghi PTR Tôi yêu cầu nhà cung cấp máy chủ thêm bản ghi PTR cho địa chỉ IP của tôi. Vì vậy, khi bạn tra cứu IP của mình, nó sẽ trả về:

$ nslookup 116.193.250.253 130 ⨯
253.250.193.116.in-addr.arpa tên = mail.yourprimarymailserverdomain.com.
253.250.193.116.in-addr.arpa tên = mail.yoursecondarymailserverdomain.com.

Được rồi, tôi đã sử dụng hai miền cho máy chủ email của mình. Nếu bạn vẫn nhận được SSL tự ký, hãy chuyển sang bước thứ 2.

2. Định cấu hình Postfix và Dovecot theo cách thủ công.

Giả sử bạn đang sử dụng một số phiên bản cũ của CyberPanel hoặc bạn đã tạo một trang web trước khi nâng cấp lên v1.9.4. Bạn có thể tiếp tục và tạo mail.domain.com làm miền con cho miền chính của mình, đồng thời đảm bảo cấp SSL cho miền này.

Bước 1: Mở tệp /etc/postfix/main.cf bằng bất kỳ trình chỉnh sửa nào

sudo nano /etc/postfix/main.cf

Bước 2: Comment 2 dòng sau vào file đó bằng cách thêm dấu # vào đầu.

# smtpd_tls_cert_file = /etc/pki/dovecot/certs/dovecot.pem 
# smtpd_tls_key_file = /etc/pki/dovecot/private/dovecot.pem

Bước 3: Thêm các dòng sau sau khi thay đổi. Hãy nhớ thay thế YourPrimaryMailServerDomain bằng tên miền của riêng bạn.

# cung cấp chứng chỉ chính cho máy chủ, được sử dụng cho các kết nối gửi đi 
smtpd_tls_chain_files = /etc/letsencrypt/live/mail.yourprimarymailserverdomain.com/privkey.pem, /etc/letsencrypt/live/mail.yourprimarymailserverdomain.com/fullchain.pem

Bước 4: Để hỗ trợ SNI bạn cần thêm dòng sau vào cuối

# cung cấp bản đồ sẽ được sử dụng khi hỗ trợ SNI được bật 
tls_server_sni_maps = hash:/etc/postfix/vmail_ssl.map

Sau tất cả các bước trên, tệp của bạn sẽ trông như thế này

# smtpd_tls_cert_file = /etc/pki/dovecot/certs/dovecot.pem
# smtpd_tls_key_file = /etc/pki/dovecot/private/dovecot.pem
# cung cấp chứng chỉ chính cho máy chủ, được sử dụng cho các kết nối gửi đi
smtpd_tls_chain_files = /etc/letsencrypt/live/mail.yourprimarymailserverdomain.com/privkey.pem, /etc/letsencrypt/live/mail.yourprimarymailserverdomain.com/fullchain.pem
# cung cấp bản đồ sẽ được sử dụng khi hỗ trợ SNI được bật
tls_server_sni_maps = hash:/etc/postfix/vmail_ssl.map

Bước 5: Tạo một tệp mới trong /etc/postfix với tên là vmail_ssl.map

cảm ứng sudo /etc/postfix/vmail_ssl.map

Bước 6: Chỉnh sửa tệp để thêm chứng chỉ SSL tên miền của bạn vào danh sách như thế này

mail.yourprimarymailserverdomain.com /etc/letsencrypt/live/mail.yourprimarymailserverdomain.com/privkey.pem /etc/letsencrypt/live/mail.yourprimarymailserverdomain.com/fullchain.pem

Bước 7 (Tùy chọn): Nếu bạn có nhiều miền được hỗ trợ, hãy thêm tất cả các miền trên mỗi dòng. Tệp kết quả sẽ trông như thế này

# Biên dịch với postmap -F hash:/etc/postfix/vmail_ssl.map khi cập nhật
# Một máy chủ trên mỗi dòng
mail.yourprimarymailserverdomain.com /etc/letsencrypt/live/mail.yourprimarymailserverdomain.com/privkey.pem /etc/letsencrypt/live/mail.yourprimarymailserverdomain.com/fullchain.pem
mail.yoursecondarymailserverdomain.com /etc/letsencrypt/live/mail.yoursecondarymailserverdomain.com/privkey.pem /etc/letsencrypt/live/mail.yoursecondarymailserverdomain.com/fullchain.pem
# thêm nhiều tên miền có khóa và chứng chỉ khi cần

Bước 8: Mở /etc/dovecot/dovecot.conf

sudo nano /etc/dovecot/dovecot.conf

Bước 9: Nối phần sau vào cuối tệp, thay thế domain.com bằng tên miền của riêng bạn.

local_name mail.domain.com {
  ssl_cert = </etc/letsencrypt/live/mail.domain.com/fullchain.pem
  ssl_key = </etc/letsencrypt/live/mail.domain.com/privkey.pem
}

Bước 10: Biên dịch lại postmap với SNI bằng lệnh sau

postmap -F hash:/etc/postfix/vmail_ssl.map

Bước 11: Khởi động lại Postfix.

hậu tố khởi động lại systemctl

Bước 12: Khởi động lại Dovecot

systemctl khởi động lại dovecot

Kết nối lại bằng ứng dụng thư khách và bạn sẽ không thấy lỗi.

Thẩm quyền giải quyết: https://cyberpanel.net/docs/6-self-signed-ssl-error-on-outlook-thunderbird/

Chúc may mắn. :)

0 + 0
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.