* Пересоздать SSL сертификат, автосозданный при установке

10.03.2015 16:04
ред: 10.03.2015 23:42

Еще раз перечитал тему, там конкретно это решение не обсуждалось...

В итоге решили вопрос добавлением в DNS соответствующей SRV записи.

wikipost

10.03.2015 23:51

Там обсуждалось решение, которое необходимо реализовать для автонастройки конкретно Outlook'а и мобильных клиентов — в соответствии с рекомендациями MS и с тестами, проводимыми по этим рекомендациям, специальным сайтом.

А по SRV-записям какой почтовый клиент автонастраивается?

wikipost

http://www.alexxhost.ru/2011/05/autodiscover-1.html

11.03.2015 08:58
ред: 11.03.2015 17:10

Проверял через сайт, wp, оутлок в виндовс 10 ТП и Outlook 2013...

Проверка SRV записи один из стандартных шагов аутодискавер...

wikipost

27.10.2017 11:43

Попробовал создать сертификат, появляются ошибки в логе, файл server.pem не создается

автор пишет: <30>
Log started: Fri, 27 Oct 2017 13:40:24 +0300 (acWEB/5.11, build 5555, 05.06.2016) XXX-XXXX\администратор app_fsetmod,EXCEPTION! CODE:C0000005 ADDRESS:0057A1EB WORD:STR+ USER DATA: 02C6004C THREAD ID: 00000094 HANDLER: 00000000 ** Exception time: Fri, 27 Oct 2017 13:40:25 +0300 ** Thread number/reuse/id:0 0 148 ** API Calls: STACK: (0) 11110618 000CEA60 0000000B 11110778 02876248 11060D1F [6547000D] RETURN STACK: 000CD86C : 00553294 (LocalsExit) 000CD870 : 0000000C 000CD874 : 6547000D 000CD878 : 0000000B 000CD87C : 11110778 000CD880 : 005B0D71 al_fread 000CD884 : 00553294 (LocalsExit) 000CD888 : 00000014 000CD88C : 02C6004C 000CD890 : 11110778 000CD894 : 0000000B 000CD898 : 00000001 000CD89C : 74D49C68 END OF EXCEPTION REPORT[/quote]

wikipost

30.10.2017 11:37

Подскажите, есть еще кто бесплатные сертификаты раздает?
А то 2 года назад создал сертификат на 3 года, а сайт вдруг полностью обкитаился, и отозвал сертификат.
Уже и не помню как делал 2 года назад, и сейчас просто голова кипит, не понимаю как делать

wikipost

31.10.2017 10:04

У меня пока работает сертификат от

https://www.wosign.com/English/
Можно попробовать у них создать.

wikipost

31.10.2017 11:41

i.schelokov пишет: попробовать

Как раз оттуда у меня сертификат и был, но перестал работать

И создать новый не дает, так как все по китайски, который почему то я не понимаю

Может кто сталкивался с покупкой сертификата и может посоветовать, чтоб не сильно дорого, и максимально к Eserv подходил.

wikipost

31.10.2017 12:16

создал сертификат на www.startcomca.com
Скачал архив с сертификатами, там 4 папки
ApacheServer
IISServer
NginxServer
OtherServer
В папках файлы сертификатов domen.ru.cer из какой папки брать файлы, и как их переконвертить в .pem?

wikipost

https://www.sslshopper.com/ssl-converter.html

01.11.2017 12:12

Можно с помощью OpenSSL командой вида: openssl x509 -in certnewb.cer -inform DER -out certnewb.pem -outform PEM

Либо попробовать онлайн

wikipost

04.11.2017 14:07

ili_a пишет: Может кто сталкивался с покупкой сертификата и может посоветовать, чтоб не сильно дорого, и максимально к Eserv подходил.

К Eserv подойдёт любой X.509-сертификат. Самый простой способ получить валидный (с точки зрения браузеров) бесплатный подписанный сертификат — LetsEncrypt. Можно без запуска каких-либо команд получить его здесь:

https://zerossl.com/free-ssl/#crt

ili_a пишет: Скачал архив с сертификатами, там 4 папки

Создайте файл cert\server.pem , внутри такая структура из трёх секций:

-----BEGIN CERTIFICATE----- Здесь подписанный сертификат, полученный от CA. -----END CERTIFICATE----- -----BEGIN PRIVATE KEY----- Здесь закрытый (секретный) ключ, который вы генерировали перед отправкой запроса в CA. -----END PRIVATE KEY----- -----BEGIN CERTIFICATE----- Здесь сертификат CA, то есть издателя, который подписал ваш сертификат (из первой секции). -----END CERTIFICATE-----

Средняя у вас где-то сохранена при генерации запроса сертификата. Первая и третья — лежат в тех "4х папках". Обычно в Apache и Nginx в совместимых PEM-форматах.

Если есть сомнения "что есть что" в полученных вами от CA данных, можно *.pem переименовывать в *.cer и "запускать" в Проводнике Windows, он покажет их встроенными средствами просмотра сертификатов.

Если все равно ничего не понятно, вы можете выложить свой архив здесь или отправить нам на support@ — в этих данных нет ничего секретного (когда вы устанавливаете их на сервер, сертификаты видны всем). Кроме private key, конечно — он не должен отправляться ни в CA, ни support@, ни тем более на форум.

wikipost

04.11.2017 18:48
ред: 23.11.2017 13:35

Вроде все понятно, но собрать воедино не смог.
Запутался в файлах...

Помогите пожалуйста

wikipost

21.11.2017 00:14

Я же просил — не присылать на форум private key!..

Но с ним, конечно, еще проще

, вот ваш готовый server.pem:

Файл:

server.pem [7203 bytes]

wikipost

21.11.2017 00:17

Инструкция на будущее (на примере файлов из вашего архива): между сертификатами в domain-crt.txt вставьте ключ из domain-key.txt — сохраните и переименуйте в server.pem, всё.

wikipost

21.11.2017 14:46

Ваш файл не скачивается, сделал как написали.
IE выдает ошибку

Не удается отобразить эту страницу

Включите TLS 1.0, TLS 1.1 и TLS 1.2 в дополнительных параметрах и повторите попытку подключения к https://oххх.ххх.ххх.хх . Если ошибка повторяется, возможно, этот сайт использует неподдерживаемый протокол или комплект шифров, например RC4 (ссылка на статью со сведениями), который не считается безопасным. Обратитесь к администратору сайта.

wikipost

22.11.2017 22:05

Файл:

server pem [4760 bytes]

wikipost

22.11.2017 23:36

Поставил этот ваш сертификат на вот этот тестовый сайт:

https://tnt.eserv.ru/
При открытии жалуется, конечно, на несоответствие доменов, но в остальном SSL функционален и ваш валидный сертификат браузер там показывает.

wikipost

23.11.2017 13:34

Спасибо! Все получилось!
Теперь осталось только за 3 месяца не забыть как все делать

Было бы отлично встроить в Еserv автопродление сертификата!

wikipost

07.11.2018 10:18
ред: 07.11.2018 13:26

Уважаемый Андрей!
У

https://zerossl.com/free-ssl/#crt есть API.
Помогите сделать скрипт, который будет автоматически обновлять сертификат полученный на этом ресурсе, вручную делать это каждые 90 дней не очень удобно.

wikipost

14.11.2018 21:11

В ближайшие дни доделаю программу получения сертификатов по протоколу ACME непосредственно у LetsEncrypt (zerossl.com тоже у них получает, имеющиеся account-key.txt можно будет использовать с этой программой).

wikipost

15.11.2018 00:11
ред: 15.11.2018 00:13

Даже в ближайшие часы

https://www.eserv.ru/download/LE1.rar

Извлечь в любой каталог, туда же положить account-key.txt от LetsEncrypt (закрытый ключ учетной записи, который вы создавали на zerossl.com).

Используется подтверждение владения домена по HTTP: полученные от LetsEncrypt challenges будут автоматически записаны в каталоги веб-сервера Eserv (по умолчанию C:\web\domain), закрытый ключ и полученные сертификаты (domain.pem) записываются в каталог сертификатов Eserv (по умолчанию C:\E5\cert) и сразу готовы к использованию веб-сервером Eserv, перезапуск не требуется.

Запускать

LE.exe S" my.domain.ru" LE

Если значения путей по умолчанию не годятся, то создайте файл конфигурации, например "le.f", с таким содержимым:

: ESERV_WEB_ROOT S" C:/web/domain.ru" ; : ESERV_CERT_DIR S" C:/E5/cert" ; S" my.domain.ru" LE

И запускайте

LE.exe le.f

Командная строка и файл конфигурации — это программы на Форте — поэтому возможны сложные сценарии. Запуск LE.exe можно ставить в планировщик Eserv, только учтите, что account-key.txt ищется в текущем каталоге, который будет на момент запуска. И еще нужно учесть, что в LetsEncrypt жесткие rate limit, поэтому отлаживаться лучше сначала на тестовых субдоменах, а не на основном домене.

Простора для совершенствования там еще много... В первую очередь добавлю проверку срока истечения сертификата.

wikipost

07.12.2018 13:17

Попробовал действовать по инструкции.
Создал le.f
: ESERV_WEB_ROOT S" C:/web" ;
: ESERV_CERT_DIR S" D:/E4/cert" ;

S" mx.moct.ru" LE
Создал задание в планировщике сервера.
Запустил:
ESERV_WEB_ROOT isn't unique (le.f)
ESERV_CERT_DIR isn't unique (le.f)
"alg":"RS256","jwk":{"e":"AQAB","kty":"RSA","n":"jH8Ef7wmTWd_mhFcMN-t5-dvQNRGgIx
J5donxrPqGIuHnLtkTfUWSOjLoEc3ocTao-XaL0fRZOSS6mvIyD9wU_Y5Nv9VZRZ4Mu9XMUZSrBvfwRA
PNzMS7wuGck7fycHWVI62zFzqHQux0rsyyDf4HOKjyPZq5kESGdjAx3uY_nepXZ8unekyqY0UM45qTQb
3XI7GkPD55m1o8BQS9-2eTCF0td7d6Z2e1UBID-dHFgbcNfi0-zu-S7LLVHb1myWjUOy5X79njqelzT5
QXxl7zdlTUw2qmMuS2u2sC3U7mP0tMR_QcdMdA15e3JNzpe-dZftjvm20f-aAf9NYlmE7n1LIY7hvsKW sMJ4WtfDZLJMaNZ4aEzQRsUG6ug8x8FLPO9qKPiCr4p7KEseAqOaHRpUUgjr4GOeU_A_gZxP_of2SBZh
KC4vDKiEXNOD9E_Mje6AHzYkCLaBBJ00xmkdiarsYJkS0ncMBfFl7oVv9VNLZicpPNOmL4IT6SvvU3-cUimMybrQ120SLhDT3k-Gw181thhALGDpc6xf8AZ74K5yxH-JlzeGv1AYvr47Cc7lUiOw3rA2Hn6VFR d5JWzpRDMuO9MlbyajEM6S6b3IprEz9WtE9woR9R4AasK6Pfu-bNVlTX_mQy9OdSCXzB6fFYfiLbQRb_
HWWwoL88VbIM"}}
{"protected":"eyJub25jZSI6IiIsImFsZyI6IlJTMjU2IiwiandrIjp7ImUiOiJBUUFCIiwia3R5Ij oiUlNBIiwibiI6ImpIOEVmN3dtVFdkX21oRmNNTi10NS1kdlFOUkdnSXhKNWRvbnhyUHFHSXVIbkx0a1
RmVVdTT2pMb0VjM29jVGFvLVhhTDBmUlpPU1M2bXZJeUQ5d1VfWTVOdjlWWlJaNE11OVhNVVpTckJ2Zn dSQVBOek1TN3d1R2NrN2Z5Y0hXVkk2MnpGenFIUXV4MHJzeXlEZjRIT0tqeVBacTVrRVNHZGpBeDN1WV
9uZXBYWjh1bmVreXFZMFVNNDVxVFFiM1hJN0drUEQ1NW0xbzhCUVM5LTJlVENGMHRkN2Q2WjJlMVVCSU
QtZEhGZ2JjTmZpMC16dS1TN0xMVkhiMW15V2pVT3k1WDc5bmpxZWx6VDVRWHhsN3pkbFRVdzJxbU11Uz
J1MnNDM1U3bVAwdE1SX1FjZE1kQTE1ZTNKTnpwZS1kWmZ0anZtMjBmLWFBZjlOWWxtRTduMUxJWTdodn
NLV3NNSjRXdGZEWkxKTWFOWjRhRXpRUnNVRzZ1Zzh4OEZMUE85cUtQaUNyNHA3S0VzZUFxT2FIUnBVVW dqcjRHT2VVX0FfZ1p4UF9vZjJTQlpoS0M0dkRLaUVYTk9EOUVfTWplNkFIellrQ0xhQkJKMDB4bWtkaW
Fyc19fWUprUzBuY01CZkZsN29WdjlWTkxaaWNwUE5PbUw0SVQ2U3Z2VTMtY1VpbU15YnJRMTIwU0xoRF
Qzay1HdzE4MXRoaEFMR0RwYzZ4ZjhBWjc0SzV5eEgtSmx6ZUd2MUFZdnI0N0NjN2xVaU93M3JBMkhuNl
ZGUmQ1Sld6cFJETXVPOU1sYnlhakVNNlM2YjNJcHJFejlXdEU5d29SOVI0QWFzSzZQZnUtYk5WbFRYX2
1ReTlPZFNDWHpCNmZGWWZpTGJRUmJfSFdXd29MODhWYklNIn19","payload":"eyJyZXNvdXJjZSI6I m5ldy1hdXRoeiIsImlkZW50aWZpZXIiOnsidHlwZSI6ImRucyIsInZhbHVlIjoibXgubW9jdC5ydSJ9f
Q","signature":"Ao19itkRl4MV8t8qXzkVu2-J_98APqjc90bePTjgeyUdcxTDM1cH5l3MpLA8AO30 sEqd6lnsMZ5QWhd0hAMKHAS0rSXlFlna5okuueltqASjkHHF8IYeVRrSIAXZ83VJREB4xYIcXxj1RCXD yD_zYhlqK3vlOED-dZuke_ZMw48_3ZWd6UZw11pGRb4n4i9puBvDJ5O7YcbNkMs6tDdh-rY3xGrCEcJ8 ajmt1N6vuzHjVu-EpDF4ok0_4aeJEkSLgvlfB2o4hUVSyIkLELjpzGSH6sCqudKelOsumvCynZWROGFo
NBI7KhGVqjwx6qLbSjCXqKU7ez1zJnpW0-W8PmsM1aKfKFDS3ilXYXW8zq-xLtTUcDVV-JmsQp8E3zRr
29FME7v1wBtk6lb7YLJwgXhmKbJ1bXgU9-vbB1IVcaEwDnKtvglGlrSQnrmnziwuZnvKtuL4zbYedOTG xyRWD5Db9hqK7xRVIR6eCOvBDWbxFs1-MAH9iTZYvT93p7LKQNzJTcxMRj_Q0cnjP1KlOFQ09nk9Dorw dnP62tgbI1llJzD1-v3HJoJvqEaL7bz1_guyCnbJmEMgN78EYW5BfU7HMsVfs23JItErJFm59yPfmL07
InD2RUC8-4roY3kmqfO_oHcSRHvRpZfeEPdH_jprYCk369k2mMXL9AR5Bj4"}
Exception #-2010 at: le.f:4:17:
S" mx.moct.ru LE

wikipost

07.12.2018 22:02

pva пишет: Exception #-2010 at: le.f:4:17:

Не нашел нужной функции в DLL. Там важно, чтобы в текущем каталоге были именно те DLL, которые идут в комплекте (в архиве), а не из комплекта Eserv. Я не зря сделал отдельной программой, а не plugin'ом — openssl за последние годы потеряли обратную совместимость.

Возможно удобнее будет ставить в планировщик запуск не LE.exe непосредственно, а "cmd.exe /c le.bat", а внутри bat — установка нужного каталога и запуск LE.exe.

wikipost

10.12.2018 10:00

Сервер старый W2003 Std SP2 все DLL из архива в той же папке где LE.exe.
Запуск из bat с предварительной сменой каталога тоже пробовал, такая же ошибка.
Может быть DLL из комплекта не находят точки входа в системные модули?

wikipost

19.03.2019 12:41

Уважаемый АС, можно модифицировать LE.exe, что-бы дополнительно сохранялись сертификаты для сервера NGINX. Ему нужны crt и key файлы.

wikipost

20.03.2019 23:55
ред: 20.03.2019 23:59

pva пишет: Может быть DLL из комплекта не находят точки входа в системные модули?

Да, возможно.

Адаптировал LE к старым openssl DLL.

https://www.eserv.ru/download/LE2.rar
Этот вариант должен запуститься и нормально работать прямо в каталоге ext из Eserv/5 (туда же в ext поместить и account-key.txt).

wikipost

20.03.2019 23:58

i.schelokov пишет: для сервера NGINX. Ему нужны crt и key файлы.

В der-кодировке или в pem? И для nginx есть вроде их собственные утилиты. (?)

wikipost

https://habr.com/ru/company/3cx/blog/338160/

21.03.2019 17:24
ред: 21.03.2019 17:26

В pem. По сути они получаются, но одним фалом. А нужно разделить на 2. В одном сертификаты, а в другом приватный ключ. Это можно сделать и руками, но хочется автоматизировать. Просто для IP телефонии NGINX используется в качестве веб сервера и ему так-же нужен сертификат.
Например вот здесь расписано получение получение сертификата от LetsEncrypt:

wikipost

26.03.2019 18:58

И заметил еще одну проблему. Если сертификат записать под именем "доменное имя сервера.pem" acWEB с ним бес проблем работает, а вот acSMTP нет. Он хочет, что-бы имя сертификата было "server.pem". acWEB такой формат имени сертификата так-же устраивает.

wikipost

pig

26.03.2019 20:01

Для каждого протокола можно задать своё имя файла сертификата. По умолчанию везде server.pem. Вероятно, acWEB подкручен под множественность сертификатов — свой для каждого сайта.

wikipost

30.05.2019 19:06

LE опять не нашел нужную функцию в DLL, а в марте отработал нормально...
Exception #-2010 at: le.f:4:17:

wikipost

31.05.2019 11:33

pva пишет: LE опять не нашел нужную функцию в DLL, а в марте отработал нормально...
Exception #-2010 at: le.f:4:17:

Предыдущая версия отработала без ошибки сейчас)

wikipost

27.07.2021 14:25

Здравствуйте!
При попытке обновления сертификата LE.exe выдает такую ошибку
JsonPrint ERR:1980380221 2130567168 unknown reply format
DONE
Exception #-4 at: le.f:4:17:
S" mx.moct.ru LE
^ ERROR #-4

wikipost

27.07.2021 18:11

Letsencrypt перешли на новую версию протокола ACME, с которой наш LE.exe несовместим

Переходим на certbot, он уже нормально работает под Windows.

wikipost

27.07.2021 19:31

ac пишет: certbot

а можно инструкцию как настроить? с какими параметрами его запускать?

wikipost

28.07.2021 11:07

ac пишет: certbot

бот отработал, выдал разные варианты сертификата `privkey.pem` : the private key for your certificate. `fullchain.pem`: the certificate file used in most server software. `chain.pem` : used for OCSP stapling in Nginx >=1.3.7. `cert.pem` : will break many server configurations, and should not be used
without reading further documentation (see link below). какой использовать или как из них сделать server.pem пригодный для eserv?

wikipost