Autor Tópico: Conexão pop3 SSL e certificado Mandriva 2011 (Resolvido)  (Lida 2379 vezes)

Offline Estefânio Brunhara

  • Membro Vitalício
  • *****
  • Mensagens: 606
    • Ver perfil
Conexão pop3 SSL e certificado Mandriva 2011 (Resolvido)
« Online: 22 de Dezembro de 2012, 17:33 »
Estou com a a seguinte situação, eu tenho um servidor www/email mandriva 2011

Posftix+Mysql+Spamassassin+Amavisd-new+Courier+Postfixamin+Squirrelmail+Quota+SPF+Postgrey etc...

Rodando tudo 100% com todos os pacotes originais da distribuição sem precisar recompilar nada. O que acontece?

Quando um usuário de email configura outlook para receber email usando porta 995 ssl  ele reclama que o certificado nao é seguro, entao eu clico no botao sim, para continuar usando este servidor e recebo os email normalmente.

Como posso criar um certifacado para não mostrar mais esta mensagem?


O que eu fiz como tentativa!

Criei um certificado configurei meu apache para aceitar ssl e quando abro o site com o nome do meu servidor ele diz que o certificado que eu criei não é seguro, ate ai tudo bem, então eu importo este certificado e coloco ele em Autoridades de Certificados Raiz Confiaveis fecho o navegador abro de novo, então o browse passa a trabalhar com o meu certificado, somente da um mensagens dizendo se eu quero mostrar o conteudo todo mas abre o site etc.. e vejo que o https esta presente no link.

Ai pensei, o outlook não deveria esta usando este certificado, uma vez que eu importei ele com o mesmo nome que ele reclama no recebimento dos emails?


Alguém poderia me orientar melhor com relação a uso de certificados?









« Última modificação: 13 de Janeiro de 2013, 21:09 por Estefânio Brunhara »

Offline Estefânio Brunhara

  • Membro Vitalício
  • *****
  • Mensagens: 606
    • Ver perfil
Re: Conexão pop3 SSL e certificado Mandriva 2011
« Resposta #1 Online: 27 de Dezembro de 2012, 18:01 »
1. Gerando chave privada
 openssl genrsa -des3 -out cacert.key 2048
 
# 2. Criando a certificado auto assinado
openssl req -new -x509 -days 3650 -key cacert.key -out cacert.pem

Country Name (2 letter code)
:
 State or Province Name (full name) [Minas Gerais]:
 Locality Name (eg, city) [Belo Horizonte]:
 Organization Name (eg, company) [San Giovanne Informatica Ltda.]:
 Organizational Unit Name (eg, section) []:TI
 Common Name (eg, your name or your server's hostname) []:http://www.sangiovanne.com.br
 Email Address []:estefanio@brunhara.com.br
 
# 3 Criando o chave do servidor
openssl genrsa -des3 -out server.key 1024
 
# 4. Gerando o pedido de certificado para o servidor
 openssl req -new -key server.key -out server.csr
 
Country Name (2 letter code)
:
 State or Province Name (full name) [Minas Gerais]:
 Locality Name (eg, city) [Belo Horizonte]:
 Organization Name (eg, company) [San Giovanne Informatica Ltda.]:
 Organizational Unit Name (eg, section) []:TI
 Common Name (eg, your name or your server's hostname) []:mail.sangiovanne.com.br
 Email Address []:estefanio@brunhara.com
 
Please enter the following 'extra' attributes
 to be sent with your certificate request
 A challenge password []:
 An optional company name []:
 
# 5. Assinando o certificado do seu servidor pela CA pelo periodo de 10 anos
 openssl x509 -req -in server.csr -out server.crt -sha1 -CA cacert.pem -CAkey cacert.key -CAcreateserial -days 3650
 
No windows:
 1.Digite Iniciar executar (ou windows+r) mmc.exe
 2.Ao abrir o console selecione a opcao arquivo e em seguida adicionar ou remover snap-in
 3.Selecione certificado na lista que abrira , computador local e conta de computador e ok
 4.Expandir a pasta Autoridades de certificados confiaveis / certificados
 5.Clique com o botao direito em cima de certificados e selecione todas as tarefas / importar
 6.Selecione o arquivo ns1.sangiovanne.com.br.der

Fonte:
http://www.andrecanhadas.com.br/?p=386
http://www.servidordebian.org/pt/squeeze/intranet/ssl_cert/self_signed
« Última modificação: 13 de Janeiro de 2013, 21:09 por Estefânio Brunhara »

Offline Estefânio Brunhara

  • Membro Vitalício
  • *****
  • Mensagens: 606
    • Ver perfil
Re: Conexão pop3 SSL e certificado Mandriva 2011
« Resposta #2 Online: 09 de Janeiro de 2013, 11:22 »
Pessoal tirei o resolvido da mensagem porque cometi um engando, ainda continuo com o problema!

Quando eu gero o certificado da forma acima da  a mensagem  abaixo no outlook

A tarefa 'suporte@sangiovanne.com.br - Recebendo' relatou um erro (0x800CCC1A) : 'Seu servidor não oferece suporte ao tipo de criptografia de conexão especificado. Tente alterar o método de criptografia. Contate o administrador do servidor de email ou o provedor de serviços de Internet para obter mais assistência.'

Como não tinha observado achei que tinha resolvido!





« Última modificação: 13 de Janeiro de 2013, 21:10 por Estefânio Brunhara »

Offline Manoel Pinho

  • Administrador
  • Membro Vitalício
  • *****
  • Mensagens: 8.419
  • inVISTA no seu conhecimento aprendendo linux !
    • Ver perfil
Re: Conexão SSL e certificado Mandriva 2011
« Resposta #3 Online: 10 de Janeiro de 2013, 20:21 »
Se eu pude entender sua dúvida, creio que o seu problema é que o certificado SSL é auto-assinado, ou seja, não é reconhecido como válido porque você não pagou a nenhuma autoridade certificadora.

Você terá que gastar um dinheirinho para comprar um certificado SSL tipo esse:

http://www.certisign.com.br/certificado-servidor/ssl/site-seguro

Offline Estefânio Brunhara

  • Membro Vitalício
  • *****
  • Mensagens: 606
    • Ver perfil
Re: Conexão pop3 SSL e certificado Mandriva 2011
« Resposta #4 Online: 11 de Janeiro de 2013, 09:19 »
Manoel, blz!

Sim, o correto é comprar o certificado, mas como este servidor é de uso interno da empresa, tem como gerar o certificado e instalar ele nas estaçoes manualmente ou por GPO, desta forma funciona e não reclama do certificado auto assinado.

Na tentativa de refazer o resumo,eu fiz os teste e troquei o nome do certificado e não alterei o nome do certificado no /etc/courier/pop3d-ssl

Resumo da sequencia que funcionou
 
# 1. Gerando chave privada
 openssl genrsa -des3 -out cacert.key 2048
 
# 2. Criando a certificado auto assinado
openssl req -new -x509 -days 3650 -key cacert.key -out cacert.pem

Country Name (2 letter code)
:
 State or Province Name (full name) [Minas Gerais]:
 Locality Name (eg, city) [Belo Horizonte]:
 Organization Name (eg, company) [San Giovanne Informatica Ltda.]:
 Organizational Unit Name (eg, section) []:TI
 Common Name (eg, your name or your server's hostname) []:http://www.sangiovanne.com.br
 Email Address []:estefanio@brunhara.com.br
 
# 3 Criando o chave do servidor
openssl genrsa -des3 -out server.key 1024
 
# 4. Gerando o pedido de certificado para o servidor
 openssl req -new -key server.key -out server.csr
 
Country Name (2 letter code)
:
 State or Province Name (full name) [Minas Gerais]:
 Locality Name (eg, city) [Belo Horizonte]:
 Organization Name (eg, company) [San Giovanne Informatica Ltda.]:
 Organizational Unit Name (eg, section) []:TI
 Common Name (eg, your name or your server's hostname) []:mail.sangiovanne.com.br
 Email Address []:estefanio@brunhara.com
 
Please enter the following 'extra' attributes
 to be sent with your certificate request
 A challenge password []:
 An optional company name []:
 
# 5. Assinando o certificado do seu servidor pela CA pelo periodo de 10 anos
 openssl x509 -req -in server.csr -out server.crt -sha1 -CA cacert.pem -CAkey cacert.key -CAcreateserial -days 3650
 
# 6 exportando a chave para ser importada nas estaçoes windows
 openssl x509 -in cacert.pem -outform DER -out ca.der
 
O passo 6 eu segui a dica do Andre, que por sinal me ajudou muito
http://www.andrecanhadas.com.br/?p=386
« Última modificação: 13 de Janeiro de 2013, 21:10 por Estefânio Brunhara »