Регистрация...

Eserv Forum / E4 / Mail / Пересоздать SSL сертификат, автосозданный при установке

recent wikipost // (v3)
Продукты и услуги Скачать Документация Купить Поддержка Форумы Партнёрам Статьи О компании
Пробую использовать для почты TLS.
Но TheBat пишет:
>06.04.2012, 15:55:14: IMAP - Свойства сертификата: 01, алгоритм: RSA (2048 бит), Действителен с: 17.11.2010 8:31:03, по: 17.11.2011 8:31:03, на хосты в кол-ве 1 шт.: tkrif.ru. !06.04.2012, 15:55:14: IMAP - Приветствие TLS не завершено. Недействительный сертификат сервера (Срок действия этого S/MIME сертификата истек).

Я так понимаю что это был самоподписанный сертификат, созданный, Eserv/4 при установке, и он истек.
Есть ли хитрая кнопочка его пересоздать без переустановки?
Или ссылку на инструкцию по его созданию и установке в Е4..
 
Комментарии к версии 1 (06.04.2012 16:26) [~serg] d969dac0
Комментарии к версии 2 (06.04.2012 16:26) [~serg] 658e7224
АвторДатаТекстtags
ac06.04.2012 16:37
ред: 30.05.2012 18:25
Об одной кнопочке я, честно говоря, не подумал... Но можно одной строчкой:

acWEB5.exe S" tkrif.ru" S" serg@tkrif.ru" S" IT" S" TKRIF" S" Saratov" S" RU" 1 365 X509MkCert S" server" X509ServerPEM BYE


Запишите это одной строкой в bat-файл, выполните, должен получиться server.pem, который можно записать на место старого в cert.
wikipost
serg06.04.2012 17:41
Все получилось! Спасибо.
wikipost
i.schelokov08.03.2015 02:22
Уважаемый AC, а можно-ли подобным образом создать сертификат с полем SAN?
Или как правильно прописать в DNS сервере для "домен.ru" имеющий mx "mail.домен.ru" автонастройку почтовых клиентов?
Если я правильно понял, то нужна CNAME запись "autodiscover.домен.ru", ссылающаяся на "mail.домен.ru" и соответственно SSL сертификат должен содержать несколько имен хостов...
wikipost
Комментарии к этой версии (03.02.2014 13:04) [~picmast] abbd6e3e
АвторДатаТекстtags
ac10.03.2015 14:47
По autodiscover обсуждали в теме про EAS: http://forum.eserv.ru/E5/Mail/Exchange ActiveSync (EAS)
wikipost
i.schelokov10.03.2015 16:04
ред: 10.03.2015 23:42
Еще раз перечитал тему, там конкретно это решение не обсуждалось...

В итоге решили вопрос добавлением в DNS соответствующей SRV записи.
wikipost
ac10.03.2015 23:51
Там обсуждалось решение, которое необходимо реализовать для автонастройки конкретно Outlook'а и мобильных клиентов — в соответствии с рекомендациями MS и с тестами, проводимыми по этим рекомендациям, специальным сайтом.

А по SRV-записям какой почтовый клиент автонастраивается?
wikipost
i.schelokov11.03.2015 08:58
ред: 11.03.2015 17:10
Проверял через сайт, wp, оутлок в виндовс 10 ТП и Outlook 2013...

Проверка SRV записи один из стандартных шагов аутодискавер...
http://www.alexxhost.ru/2011/05/autodiscover-1.html
wikipost
ili_a27.10.2017 11:43
Попробовал создать сертификат, появляются ошибки в логе, файл server.pem не создается
автор пишет: <30>
Log started: Fri, 27 Oct 2017 13:40:24 +0300 (acWEB/5.11, build 5555, 05.06.2016) XXX-XXXX\администратор app_fsetmod,EXCEPTION! CODE:C0000005 ADDRESS:0057A1EB WORD:STR+ USER DATA: 02C6004C THREAD ID: 00000094 HANDLER: 00000000 ** Exception time: Fri, 27 Oct 2017 13:40:25 +0300 ** Thread number/reuse/id:0 0 148 ** API Calls: STACK: (0) 11110618 000CEA60 0000000B 11110778 02876248 11060D1F [6547000D] RETURN STACK: 000CD86C : 00553294 (LocalsExit) 000CD870 : 0000000C 000CD874 : 6547000D 000CD878 : 0000000B 000CD87C : 11110778 000CD880 : 005B0D71 al_fread 000CD884 : 00553294 (LocalsExit) 000CD888 : 00000014 000CD88C : 02C6004C 000CD890 : 11110778 000CD894 : 0000000B 000CD898 : 00000001 000CD89C : 74D49C68 END OF EXCEPTION REPORT[/quote]
wikipost
ili_a30.10.2017 11:37
Подскажите, есть еще кто бесплатные сертификаты раздает?
А то 2 года назад создал сертификат на 3 года, а сайт вдруг полностью обкитаился, и отозвал сертификат.
Уже и не помню как делал 2 года назад, и сейчас просто голова кипит, не понимаю как делать
wikipost
i.schelokov31.10.2017 10:04
У меня пока работает сертификат от https://www.wosign.com/English/
Можно попробовать у них создать.
wikipost
ili_a31.10.2017 11:41
i.schelokov пишет: попробовать
Как раз оттуда у меня сертификат и был, но перестал работать И создать новый не дает, так как все по китайски, который почему то я не понимаю
Может кто сталкивался с покупкой сертификата и может посоветовать, чтоб не сильно дорого, и максимально к Eserv подходил.
wikipost
ili_a31.10.2017 12:16
создал сертификат на www.startcomca.com
Скачал архив с сертификатами, там 4 папки
ApacheServer
IISServer
NginxServer
OtherServer
В папках файлы сертификатов domen.ru.cer из какой папки брать файлы, и как их переконвертить в .pem?
wikipost
i.schelokov01.11.2017 12:12
Можно с помощью OpenSSL командой вида: openssl x509 -in certnewb.cer -inform DER -out certnewb.pem -outform PEM

Либо попробовать онлайн https://www.sslshopper.com/ssl-converter.html
wikipost
ac04.11.2017 14:07
ili_a пишет: Может кто сталкивался с покупкой сертификата и может посоветовать, чтоб не сильно дорого, и максимально к Eserv подходил.

К Eserv подойдёт любой X.509-сертификат. Самый простой способ получить валидный (с точки зрения браузеров) бесплатный подписанный сертификат — LetsEncrypt. Можно без запуска каких-либо команд получить его здесь: https://zerossl.com/free-ssl/#crt

ili_a пишет: Скачал архив с сертификатами, там 4 папки


Создайте файл cert\server.pem , внутри такая структура из трёх секций:
-----BEGIN CERTIFICATE----- Здесь подписанный сертификат, полученный от CA. -----END CERTIFICATE----- -----BEGIN PRIVATE KEY----- Здесь закрытый (секретный) ключ, который вы генерировали перед отправкой запроса в CA. -----END PRIVATE KEY----- -----BEGIN CERTIFICATE----- Здесь сертификат CA, то есть издателя, который подписал ваш сертификат (из первой секции). -----END CERTIFICATE-----

Средняя у вас где-то сохранена при генерации запроса сертификата. Первая и третья — лежат в тех "4х папках". Обычно в Apache и Nginx в совместимых PEM-форматах.

Если есть сомнения "что есть что" в полученных вами от CA данных, можно *.pem переименовывать в *.cer и "запускать" в Проводнике Windows, он покажет их встроенными средствами просмотра сертификатов.

Если все равно ничего не понятно, вы можете выложить свой архив здесь или отправить нам на support@ — в этих данных нет ничего секретного (когда вы устанавливаете их на сервер, сертификаты видны всем). Кроме private key, конечно — он не должен отправляться ни в CA, ни support@, ни тем более на форум.
wikipost
ili_a04.11.2017 18:48
ред: 23.11.2017 13:35
Вроде все понятно, но собрать воедино не смог.
Запутался в файлах...

Помогите пожалуйста
wikipost
ac21.11.2017 00:14
Я же просил — не присылать на форум private key!..

Но с ним, конечно, еще проще , вот ваш готовый server.pem:

Файл: server.pem [7203 bytes]
wikipost
ac21.11.2017 00:17
Инструкция на будущее (на примере файлов из вашего архива): между сертификатами в domain-crt.txt вставьте ключ из domain-key.txt — сохраните и переименуйте в server.pem, всё.
wikipost
ili_a21.11.2017 14:46
Ваш файл не скачивается, сделал как написали.
IE выдает ошибку
Не удается отобразить эту страницу

Включите TLS 1.0, TLS 1.1 и TLS 1.2 в дополнительных параметрах и повторите попытку подключения к https://oххх.ххх.ххх.хх . Если ошибка повторяется, возможно, этот сайт использует неподдерживаемый протокол или комплект шифров, например RC4 (ссылка на статью со сведениями), который не считается безопасным. Обратитесь к администратору сайта.
wikipost
ac22.11.2017 22:05

Файл: server pem [4760 bytes]
wikipost
ac22.11.2017 23:36
Поставил этот ваш сертификат на вот этот тестовый сайт: https://tnt.eserv.ru/
При открытии жалуется, конечно, на несоответствие доменов, но в остальном SSL функционален и ваш валидный сертификат браузер там показывает.
wikipost
ili_a23.11.2017 13:34
Спасибо! Все получилось!
Теперь осталось только за 3 месяца не забыть как все делать
Было бы отлично встроить в Еserv автопродление сертификата!
wikipost
pva07.11.2018 10:18
ред: 07.11.2018 13:26
Уважаемый Андрей!
У https://zerossl.com/free-ssl/#crt есть API.
Помогите сделать скрипт, который будет автоматически обновлять сертификат полученный на этом ресурсе, вручную делать это каждые 90 дней не очень удобно.
wikipost
ac14.11.2018 21:11
В ближайшие дни доделаю программу получения сертификатов по протоколу ACME непосредственно у LetsEncrypt (zerossl.com тоже у них получает, имеющиеся account-key.txt можно будет использовать с этой программой).
wikipost
ac15.11.2018 00:11
ред: 15.11.2018 00:13
Даже в ближайшие часы

https://www.eserv.ru/download/LE1.rar

Извлечь в любой каталог, туда же положить account-key.txt от LetsEncrypt (закрытый ключ учетной записи, который вы создавали на zerossl.com).

Используется подтверждение владения домена по HTTP: полученные от LetsEncrypt challenges будут автоматически записаны в каталоги веб-сервера Eserv (по умолчанию C:\web\domain), закрытый ключ и полученные сертификаты (domain.pem) записываются в каталог сертификатов Eserv (по умолчанию C:\E5\cert) и сразу готовы к использованию веб-сервером Eserv, перезапуск не требуется.

Запускать
LE.exe S" my.domain.ru" LE


Если значения путей по умолчанию не годятся, то создайте файл конфигурации, например "le.f", с таким содержимым:

: ESERV_WEB_ROOT S" C:/web/domain.ru" ; : ESERV_CERT_DIR S" C:/E5/cert" ; S" my.domain.ru" LE

И запускайте
LE.exe le.f


Командная строка и файл конфигурации — это программы на Форте — поэтому возможны сложные сценарии. Запуск LE.exe можно ставить в планировщик Eserv, только учтите, что account-key.txt ищется в текущем каталоге, который будет на момент запуска. И еще нужно учесть, что в LetsEncrypt жесткие rate limit, поэтому отлаживаться лучше сначала на тестовых субдоменах, а не на основном домене.

Простора для совершенствования там еще много... В первую очередь добавлю проверку срока истечения сертификата.
wikipost
pva07.12.2018 13:17
Попробовал действовать по инструкции.
Создал le.f
: ESERV_WEB_ROOT S" C:/web" ;
: ESERV_CERT_DIR S" D:/E4/cert" ;

S" mx.moct.ru" LE
Создал задание в планировщике сервера.
Запустил:
ESERV_WEB_ROOT isn't unique (le.f)
ESERV_CERT_DIR isn't unique (le.f)
"alg":"RS256","jwk":{"e":"AQAB","kty":"RSA","n":"jH8Ef7wmTWd_mhFcMN-t5-dvQNRGgIx
J5donxrPqGIuHnLtkTfUWSOjLoEc3ocTao-XaL0fRZOSS6mvIyD9wU_Y5Nv9VZRZ4Mu9XMUZSrBvfwRA
PNzMS7wuGck7fycHWVI62zFzqHQux0rsyyDf4HOKjyPZq5kESGdjAx3uY_nepXZ8unekyqY0UM45qTQb
3XI7GkPD55m1o8BQS9-2eTCF0td7d6Z2e1UBID-dHFgbcNfi0-zu-S7LLVHb1myWjUOy5X79njqelzT5
QXxl7zdlTUw2qmMuS2u2sC3U7mP0tMR_QcdMdA15e3JNzpe-dZftjvm20f-aAf9NYlmE7n1LIY7hvsKW sMJ4WtfDZLJMaNZ4aEzQRsUG6ug8x8FLPO9qKPiCr4p7KEseAqOaHRpUUgjr4GOeU_A_gZxP_of2SBZh
KC4vDKiEXNOD9E_Mje6AHzYkCLaBBJ00xmkdiarsYJkS0ncMBfFl7oVv9VNLZicpPNOmL4IT6SvvU3-cUimMybrQ120SLhDT3k-Gw181thhALGDpc6xf8AZ74K5yxH-JlzeGv1AYvr47Cc7lUiOw3rA2Hn6VFR d5JWzpRDMuO9MlbyajEM6S6b3IprEz9WtE9woR9R4AasK6Pfu-bNVlTX_mQy9OdSCXzB6fFYfiLbQRb_
HWWwoL88VbIM"}}
{"protected":"eyJub25jZSI6IiIsImFsZyI6IlJTMjU2IiwiandrIjp7ImUiOiJBUUFCIiwia3R5Ij oiUlNBIiwibiI6ImpIOEVmN3dtVFdkX21oRmNNTi10NS1kdlFOUkdnSXhKNWRvbnhyUHFHSXVIbkx0a1
RmVVdTT2pMb0VjM29jVGFvLVhhTDBmUlpPU1M2bXZJeUQ5d1VfWTVOdjlWWlJaNE11OVhNVVpTckJ2Zn dSQVBOek1TN3d1R2NrN2Z5Y0hXVkk2MnpGenFIUXV4MHJzeXlEZjRIT0tqeVBacTVrRVNHZGpBeDN1WV
9uZXBYWjh1bmVreXFZMFVNNDVxVFFiM1hJN0drUEQ1NW0xbzhCUVM5LTJlVENGMHRkN2Q2WjJlMVVCSU
QtZEhGZ2JjTmZpMC16dS1TN0xMVkhiMW15V2pVT3k1WDc5bmpxZWx6VDVRWHhsN3pkbFRVdzJxbU11Uz
J1MnNDM1U3bVAwdE1SX1FjZE1kQTE1ZTNKTnpwZS1kWmZ0anZtMjBmLWFBZjlOWWxtRTduMUxJWTdodn
NLV3NNSjRXdGZEWkxKTWFOWjRhRXpRUnNVRzZ1Zzh4OEZMUE85cUtQaUNyNHA3S0VzZUFxT2FIUnBVVW dqcjRHT2VVX0FfZ1p4UF9vZjJTQlpoS0M0dkRLaUVYTk9EOUVfTWplNkFIellrQ0xhQkJKMDB4bWtkaW
Fyc19fWUprUzBuY01CZkZsN29WdjlWTkxaaWNwUE5PbUw0SVQ2U3Z2VTMtY1VpbU15YnJRMTIwU0xoRF
Qzay1HdzE4MXRoaEFMR0RwYzZ4ZjhBWjc0SzV5eEgtSmx6ZUd2MUFZdnI0N0NjN2xVaU93M3JBMkhuNl
ZGUmQ1Sld6cFJETXVPOU1sYnlhakVNNlM2YjNJcHJFejlXdEU5d29SOVI0QWFzSzZQZnUtYk5WbFRYX2
1ReTlPZFNDWHpCNmZGWWZpTGJRUmJfSFdXd29MODhWYklNIn19","payload":"eyJyZXNvdXJjZSI6I m5ldy1hdXRoeiIsImlkZW50aWZpZXIiOnsidHlwZSI6ImRucyIsInZhbHVlIjoibXgubW9jdC5ydSJ9f
Q","signature":"Ao19itkRl4MV8t8qXzkVu2-J_98APqjc90bePTjgeyUdcxTDM1cH5l3MpLA8AO30 sEqd6lnsMZ5QWhd0hAMKHAS0rSXlFlna5okuueltqASjkHHF8IYeVRrSIAXZ83VJREB4xYIcXxj1RCXD yD_zYhlqK3vlOED-dZuke_ZMw48_3ZWd6UZw11pGRb4n4i9puBvDJ5O7YcbNkMs6tDdh-rY3xGrCEcJ8 ajmt1N6vuzHjVu-EpDF4ok0_4aeJEkSLgvlfB2o4hUVSyIkLELjpzGSH6sCqudKelOsumvCynZWROGFo
NBI7KhGVqjwx6qLbSjCXqKU7ez1zJnpW0-W8PmsM1aKfKFDS3ilXYXW8zq-xLtTUcDVV-JmsQp8E3zRr
29FME7v1wBtk6lb7YLJwgXhmKbJ1bXgU9-vbB1IVcaEwDnKtvglGlrSQnrmnziwuZnvKtuL4zbYedOTG xyRWD5Db9hqK7xRVIR6eCOvBDWbxFs1-MAH9iTZYvT93p7LKQNzJTcxMRj_Q0cnjP1KlOFQ09nk9Dorw dnP62tgbI1llJzD1-v3HJoJvqEaL7bz1_guyCnbJmEMgN78EYW5BfU7HMsVfs23JItErJFm59yPfmL07
InD2RUC8-4roY3kmqfO_oHcSRHvRpZfeEPdH_jprYCk369k2mMXL9AR5Bj4"}
Exception #-2010 at: le.f:4:17:
S" mx.moct.ru LE
wikipost
ac07.12.2018 22:02
pva пишет: Exception #-2010 at: le.f:4:17:

Не нашел нужной функции в DLL. Там важно, чтобы в текущем каталоге были именно те DLL, которые идут в комплекте (в архиве), а не из комплекта Eserv. Я не зря сделал отдельной программой, а не plugin'ом — openssl за последние годы потеряли обратную совместимость.

Возможно удобнее будет ставить в планировщик запуск не LE.exe непосредственно, а "cmd.exe /c le.bat", а внутри bat — установка нужного каталога и запуск LE.exe.
wikipost
pva10.12.2018 10:00
Сервер старый W2003 Std SP2 все DLL из архива в той же папке где LE.exe.
Запуск из bat с предварительной сменой каталога тоже пробовал, такая же ошибка.
Может быть DLL из комплекта не находят точки входа в системные модули?
wikipost
i.schelokov19.03.2019 12:41
Уважаемый АС, можно модифицировать LE.exe, что-бы дополнительно сохранялись сертификаты для сервера NGINX. Ему нужны crt и key файлы.
wikipost
ac20.03.2019 23:55
ред: 20.03.2019 23:59
pva пишет: Может быть DLL из комплекта не находят точки входа в системные модули?

Да, возможно.

Адаптировал LE к старым openssl DLL.
https://www.eserv.ru/download/LE2.rar
Этот вариант должен запуститься и нормально работать прямо в каталоге ext из Eserv/5 (туда же в ext поместить и account-key.txt).
wikipost
ac20.03.2019 23:58
i.schelokov пишет: для сервера NGINX. Ему нужны crt и key файлы.

В der-кодировке или в pem? И для nginx есть вроде их собственные утилиты. (?)
wikipost
i.schelokov21.03.2019 17:24
ред: 21.03.2019 17:26
В pem. По сути они получаются, но одним фалом. А нужно разделить на 2. В одном сертификаты, а в другом приватный ключ. Это можно сделать и руками, но хочется автоматизировать. Просто для IP телефонии NGINX используется в качестве веб сервера и ему так-же нужен сертификат.
Например вот здесь расписано получение получение сертификата от LetsEncrypt: https://habr.com/ru/company/3cx/blog/338160/
wikipost
i.schelokov26.03.2019 18:58
И заметил еще одну проблему. Если сертификат записать под именем "доменное имя сервера.pem" acWEB с ним бес проблем работает, а вот acSMTP нет. Он хочет, что-бы имя сертификата было "server.pem". acWEB такой формат имени сертификата так-же устраивает.
wikipost
pig26.03.2019 20:01
Для каждого протокола можно задать своё имя файла сертификата. По умолчанию везде server.pem. Вероятно, acWEB подкручен под множественность сертификатов — свой для каждого сайта.
wikipost
pva30.05.2019 19:06
LE опять не нашел нужную функцию в DLL, а в марте отработал нормально...
Exception #-2010 at: le.f:4:17:
wikipost
pva31.05.2019 11:33
pva пишет: LE опять не нашел нужную функцию в DLL, а в марте отработал нормально...
Exception #-2010 at: le.f:4:17:

Предыдущая версия отработала без ошибки сейчас)
wikipost
Работает на Eserv/5.05555 (05.06.2016)