Регистрация...

Eserv Forum / E4 / Mail / Пересоздать SSL сертификат, автосозданный при установке

wikipost // (v1)
Продукты и услуги Скачать Документация Купить Поддержка Форумы Партнёрам Статьи О компании
Пробую использовать для почты TLS.
Но TheBat пишет:
>06.04.2012, 15:55:14: IMAP - Свойства сертификата: 01, алгоритм: RSA (2048 бит), Действителен с: 17.11.2010 8:31:03, по: 17.11.2011 8:31:03, на хосты в кол-ве 1 шт.: tkrif.ru. !06.04.2012, 15:55:14: IMAP - Приветствие TLS не завершено. Недействительный сертификат сервера (Срок действия этого S/MIME сертификата истек).

Я так понимаю что это был самоподписанный сертификат, созданный, Eserv/4 при установке, и он истек.
Есть ли хитрая кнопочка его пересоздать без переустановки?
Или ссылку на инструкцию по его созданию и установке в Е4.
 
Комментарии к версии 1 (06.04.2012 16:26) [~serg] d969dac0
Комментарии к этой версии (06.04.2012 16:26) [~serg] 658e7224
АвторДатаТекстtags
ac06.04.2012 16:37
ред: 30.05.2012 18:25
Об одной кнопочке я, честно говоря, не подумал... Но можно одной строчкой:

acWEB5.exe S" tkrif.ru" S" serg@tkrif.ru" S" IT" S" TKRIF" S" Saratov" S" RU" 1 365 X509MkCert S" server" X509ServerPEM BYE


Запишите это одной строкой в bat-файл, выполните, должен получиться server.pem, который можно записать на место старого в cert.
wikipost
serg06.04.2012 17:41
Все получилось! Спасибо.
wikipost
i.schelokov08.03.2015 02:22
Уважаемый AC, а можно-ли подобным образом создать сертификат с полем SAN?
Или как правильно прописать в DNS сервере для "домен.ru" имеющий mx "mail.домен.ru" автонастройку почтовых клиентов?
Если я правильно понял, то нужна CNAME запись "autodiscover.домен.ru", ссылающаяся на "mail.домен.ru" и соответственно SSL сертификат должен содержать несколько имен хостов...
wikipost
Комментарии к версии 3 (03.02.2014 13:04) [~picmast] abbd6e3e
АвторДатаТекстtags
ac10.03.2015 14:47
По autodiscover обсуждали в теме про EAS: http://forum.eserv.ru/E5/Mail/Exchange ActiveSync (EAS)
wikipost
i.schelokov10.03.2015 16:04
ред: 10.03.2015 23:42
Еще раз перечитал тему, там конкретно это решение не обсуждалось...

В итоге решили вопрос добавлением в DNS соответствующей SRV записи.
wikipost
ac10.03.2015 23:51
Там обсуждалось решение, которое необходимо реализовать для автонастройки конкретно Outlook'а и мобильных клиентов — в соответствии с рекомендациями MS и с тестами, проводимыми по этим рекомендациям, специальным сайтом.

А по SRV-записям какой почтовый клиент автонастраивается?
wikipost
i.schelokov11.03.2015 08:58
ред: 11.03.2015 17:10
Проверял через сайт, wp, оутлок в виндовс 10 ТП и Outlook 2013...

Проверка SRV записи один из стандартных шагов аутодискавер...
http://www.alexxhost.ru/2011/05/autodiscover-1.html
wikipost
ili_a27.10.2017 11:43
Попробовал создать сертификат, появляются ошибки в логе, файл server.pem не создается
автор пишет: <30>
Log started: Fri, 27 Oct 2017 13:40:24 +0300 (acWEB/5.11, build 5555, 05.06.2016) XXX-XXXX\администратор app_fsetmod,EXCEPTION! CODE:C0000005 ADDRESS:0057A1EB WORD:STR+ USER DATA: 02C6004C THREAD ID: 00000094 HANDLER: 00000000 ** Exception time: Fri, 27 Oct 2017 13:40:25 +0300 ** Thread number/reuse/id:0 0 148 ** API Calls: STACK: (0) 11110618 000CEA60 0000000B 11110778 02876248 11060D1F [6547000D] RETURN STACK: 000CD86C : 00553294 (LocalsExit) 000CD870 : 0000000C 000CD874 : 6547000D 000CD878 : 0000000B 000CD87C : 11110778 000CD880 : 005B0D71 al_fread 000CD884 : 00553294 (LocalsExit) 000CD888 : 00000014 000CD88C : 02C6004C 000CD890 : 11110778 000CD894 : 0000000B 000CD898 : 00000001 000CD89C : 74D49C68 END OF EXCEPTION REPORT[/quote]
wikipost
ili_a30.10.2017 11:37
Подскажите, есть еще кто бесплатные сертификаты раздает?
А то 2 года назад создал сертификат на 3 года, а сайт вдруг полностью обкитаился, и отозвал сертификат.
Уже и не помню как делал 2 года назад, и сейчас просто голова кипит, не понимаю как делать
wikipost
i.schelokov31.10.2017 10:04
У меня пока работает сертификат от https://www.wosign.com/English/
Можно попробовать у них создать.
wikipost
ili_a31.10.2017 11:41
i.schelokov пишет: попробовать
Как раз оттуда у меня сертификат и был, но перестал работать И создать новый не дает, так как все по китайски, который почему то я не понимаю
Может кто сталкивался с покупкой сертификата и может посоветовать, чтоб не сильно дорого, и максимально к Eserv подходил.
wikipost
ili_a31.10.2017 12:16
создал сертификат на www.startcomca.com
Скачал архив с сертификатами, там 4 папки
ApacheServer
IISServer
NginxServer
OtherServer
В папках файлы сертификатов domen.ru.cer из какой папки брать файлы, и как их переконвертить в .pem?
wikipost
i.schelokov01.11.2017 12:12
Можно с помощью OpenSSL командой вида: openssl x509 -in certnewb.cer -inform DER -out certnewb.pem -outform PEM

Либо попробовать онлайн https://www.sslshopper.com/ssl-converter.html
wikipost
ac04.11.2017 14:07
ili_a пишет: Может кто сталкивался с покупкой сертификата и может посоветовать, чтоб не сильно дорого, и максимально к Eserv подходил.

К Eserv подойдёт любой X.509-сертификат. Самый простой способ получить валидный (с точки зрения браузеров) бесплатный подписанный сертификат — LetsEncrypt. Можно без запуска каких-либо команд получить его здесь: https://zerossl.com/free-ssl/#crt

ili_a пишет: Скачал архив с сертификатами, там 4 папки


Создайте файл cert\server.pem , внутри такая структура из трёх секций:
-----BEGIN CERTIFICATE----- Здесь подписанный сертификат, полученный от CA. -----END CERTIFICATE----- -----BEGIN PRIVATE KEY----- Здесь закрытый (секретный) ключ, который вы генерировали перед отправкой запроса в CA. -----END PRIVATE KEY----- -----BEGIN CERTIFICATE----- Здесь сертификат CA, то есть издателя, который подписал ваш сертификат (из первой секции). -----END CERTIFICATE-----

Средняя у вас где-то сохранена при генерации запроса сертификата. Первая и третья — лежат в тех "4х папках". Обычно в Apache и Nginx в совместимых PEM-форматах.

Если есть сомнения "что есть что" в полученных вами от CA данных, можно *.pem переименовывать в *.cer и "запускать" в Проводнике Windows, он покажет их встроенными средствами просмотра сертификатов.

Если все равно ничего не понятно, вы можете выложить свой архив здесь или отправить нам на support@ — в этих данных нет ничего секретного (когда вы устанавливаете их на сервер, сертификаты видны всем). Кроме private key, конечно — он не должен отправляться ни в CA, ни support@, ни тем более на форум.
wikipost
ili_a04.11.2017 18:48
ред: 23.11.2017 13:35
Вроде все понятно, но собрать воедино не смог.
Запутался в файлах...

Помогите пожалуйста
wikipost
ac21.11.2017 00:14
Я же просил — не присылать на форум private key!..

Но с ним, конечно, еще проще , вот ваш готовый server.pem:

Файл: server.pem [7203 bytes]
wikipost
ac21.11.2017 00:17
Инструкция на будущее (на примере файлов из вашего архива): между сертификатами в domain-crt.txt вставьте ключ из domain-key.txt — сохраните и переименуйте в server.pem, всё.
wikipost
ili_a21.11.2017 14:46
Ваш файл не скачивается, сделал как написали.
IE выдает ошибку
Не удается отобразить эту страницу

Включите TLS 1.0, TLS 1.1 и TLS 1.2 в дополнительных параметрах и повторите попытку подключения к https://oххх.ххх.ххх.хх . Если ошибка повторяется, возможно, этот сайт использует неподдерживаемый протокол или комплект шифров, например RC4 (ссылка на статью со сведениями), который не считается безопасным. Обратитесь к администратору сайта.
wikipost
ac22.11.2017 22:05

Файл: server pem [4760 bytes]
wikipost
ac22.11.2017 23:36
Поставил этот ваш сертификат на вот этот тестовый сайт: https://tnt.eserv.ru/
При открытии жалуется, конечно, на несоответствие доменов, но в остальном SSL функционален и ваш валидный сертификат браузер там показывает.
wikipost
ili_a23.11.2017 13:34
Спасибо! Все получилось!
Теперь осталось только за 3 месяца не забыть как все делать
Было бы отлично встроить в Еserv автопродление сертификата!
wikipost
pva07.11.2018 10:18
ред: 07.11.2018 13:26
Уважаемый Андрей!
У https://zerossl.com/free-ssl/#crt есть API.
Помогите сделать скрипт, который будет автоматически обновлять сертификат полученный на этом ресурсе, вручную делать это каждые 90 дней не очень удобно.
wikipost
ac14.11.2018 21:11
В ближайшие дни доделаю программу получения сертификатов по протоколу ACME непосредственно у LetsEncrypt (zerossl.com тоже у них получает, имеющиеся account-key.txt можно будет использовать с этой программой).
wikipost
ac15.11.2018 00:11
ред: 15.11.2018 00:13
Даже в ближайшие часы

https://www.eserv.ru/download/LE1.rar

Извлечь в любой каталог, туда же положить account-key.txt от LetsEncrypt (закрытый ключ учетной записи, который вы создавали на zerossl.com).

Используется подтверждение владения домена по HTTP: полученные от LetsEncrypt challenges будут автоматически записаны в каталоги веб-сервера Eserv (по умолчанию C:\web\domain), закрытый ключ и полученные сертификаты (domain.pem) записываются в каталог сертификатов Eserv (по умолчанию C:\E5\cert) и сразу готовы к использованию веб-сервером Eserv, перезапуск не требуется.

Запускать
LE.exe S" my.domain.ru" LE


Если значения путей по умолчанию не годятся, то создайте файл конфигурации, например "le.f", с таким содержимым:

: ESERV_WEB_ROOT S" C:/web/domain.ru" ; : ESERV_CERT_DIR S" C:/E5/cert" ; S" my.domain.ru" LE

И запускайте
LE.exe le.f


Командная строка и файл конфигурации — это программы на Форте — поэтому возможны сложные сценарии. Запуск LE.exe можно ставить в планировщик Eserv, только учтите, что account-key.txt ищется в текущем каталоге, который будет на момент запуска. И еще нужно учесть, что в LetsEncrypt жесткие rate limit, поэтому отлаживаться лучше сначала на тестовых субдоменах, а не на основном домене.

Простора для совершенствования там еще много... В первую очередь добавлю проверку срока истечения сертификата.
wikipost
pva07.12.2018 13:17
Попробовал действовать по инструкции.
Создал le.f
: ESERV_WEB_ROOT S" C:/web" ;
: ESERV_CERT_DIR S" D:/E4/cert" ;

S" mx.moct.ru" LE
Создал задание в планировщике сервера.
Запустил:
ESERV_WEB_ROOT isn't unique (le.f)
ESERV_CERT_DIR isn't unique (le.f)
"alg":"RS256","jwk":{"e":"AQAB","kty":"RSA","n":"jH8Ef7wmTWd_mhFcMN-t5-dvQNRGgIx
J5donxrPqGIuHnLtkTfUWSOjLoEc3ocTao-XaL0fRZOSS6mvIyD9wU_Y5Nv9VZRZ4Mu9XMUZSrBvfwRA
PNzMS7wuGck7fycHWVI62zFzqHQux0rsyyDf4HOKjyPZq5kESGdjAx3uY_nepXZ8unekyqY0UM45qTQb
3XI7GkPD55m1o8BQS9-2eTCF0td7d6Z2e1UBID-dHFgbcNfi0-zu-S7LLVHb1myWjUOy5X79njqelzT5
QXxl7zdlTUw2qmMuS2u2sC3U7mP0tMR_QcdMdA15e3JNzpe-dZftjvm20f-aAf9NYlmE7n1LIY7hvsKW sMJ4WtfDZLJMaNZ4aEzQRsUG6ug8x8FLPO9qKPiCr4p7KEseAqOaHRpUUgjr4GOeU_A_gZxP_of2SBZh
KC4vDKiEXNOD9E_Mje6AHzYkCLaBBJ00xmkdiarsYJkS0ncMBfFl7oVv9VNLZicpPNOmL4IT6SvvU3-cUimMybrQ120SLhDT3k-Gw181thhALGDpc6xf8AZ74K5yxH-JlzeGv1AYvr47Cc7lUiOw3rA2Hn6VFR d5JWzpRDMuO9MlbyajEM6S6b3IprEz9WtE9woR9R4AasK6Pfu-bNVlTX_mQy9OdSCXzB6fFYfiLbQRb_
HWWwoL88VbIM"}}
{"protected":"eyJub25jZSI6IiIsImFsZyI6IlJTMjU2IiwiandrIjp7ImUiOiJBUUFCIiwia3R5Ij oiUlNBIiwibiI6ImpIOEVmN3dtVFdkX21oRmNNTi10NS1kdlFOUkdnSXhKNWRvbnhyUHFHSXVIbkx0a1
RmVVdTT2pMb0VjM29jVGFvLVhhTDBmUlpPU1M2bXZJeUQ5d1VfWTVOdjlWWlJaNE11OVhNVVpTckJ2Zn dSQVBOek1TN3d1R2NrN2Z5Y0hXVkk2MnpGenFIUXV4MHJzeXlEZjRIT0tqeVBacTVrRVNHZGpBeDN1WV
9uZXBYWjh1bmVreXFZMFVNNDVxVFFiM1hJN0drUEQ1NW0xbzhCUVM5LTJlVENGMHRkN2Q2WjJlMVVCSU
QtZEhGZ2JjTmZpMC16dS1TN0xMVkhiMW15V2pVT3k1WDc5bmpxZWx6VDVRWHhsN3pkbFRVdzJxbU11Uz
J1MnNDM1U3bVAwdE1SX1FjZE1kQTE1ZTNKTnpwZS1kWmZ0anZtMjBmLWFBZjlOWWxtRTduMUxJWTdodn
NLV3NNSjRXdGZEWkxKTWFOWjRhRXpRUnNVRzZ1Zzh4OEZMUE85cUtQaUNyNHA3S0VzZUFxT2FIUnBVVW dqcjRHT2VVX0FfZ1p4UF9vZjJTQlpoS0M0dkRLaUVYTk9EOUVfTWplNkFIellrQ0xhQkJKMDB4bWtkaW
Fyc19fWUprUzBuY01CZkZsN29WdjlWTkxaaWNwUE5PbUw0SVQ2U3Z2VTMtY1VpbU15YnJRMTIwU0xoRF
Qzay1HdzE4MXRoaEFMR0RwYzZ4ZjhBWjc0SzV5eEgtSmx6ZUd2MUFZdnI0N0NjN2xVaU93M3JBMkhuNl
ZGUmQ1Sld6cFJETXVPOU1sYnlhakVNNlM2YjNJcHJFejlXdEU5d29SOVI0QWFzSzZQZnUtYk5WbFRYX2
1ReTlPZFNDWHpCNmZGWWZpTGJRUmJfSFdXd29MODhWYklNIn19","payload":"eyJyZXNvdXJjZSI6I m5ldy1hdXRoeiIsImlkZW50aWZpZXIiOnsidHlwZSI6ImRucyIsInZhbHVlIjoibXgubW9jdC5ydSJ9f
Q","signature":"Ao19itkRl4MV8t8qXzkVu2-J_98APqjc90bePTjgeyUdcxTDM1cH5l3MpLA8AO30 sEqd6lnsMZ5QWhd0hAMKHAS0rSXlFlna5okuueltqASjkHHF8IYeVRrSIAXZ83VJREB4xYIcXxj1RCXD yD_zYhlqK3vlOED-dZuke_ZMw48_3ZWd6UZw11pGRb4n4i9puBvDJ5O7YcbNkMs6tDdh-rY3xGrCEcJ8 ajmt1N6vuzHjVu-EpDF4ok0_4aeJEkSLgvlfB2o4hUVSyIkLELjpzGSH6sCqudKelOsumvCynZWROGFo
NBI7KhGVqjwx6qLbSjCXqKU7ez1zJnpW0-W8PmsM1aKfKFDS3ilXYXW8zq-xLtTUcDVV-JmsQp8E3zRr
29FME7v1wBtk6lb7YLJwgXhmKbJ1bXgU9-vbB1IVcaEwDnKtvglGlrSQnrmnziwuZnvKtuL4zbYedOTG xyRWD5Db9hqK7xRVIR6eCOvBDWbxFs1-MAH9iTZYvT93p7LKQNzJTcxMRj_Q0cnjP1KlOFQ09nk9Dorw dnP62tgbI1llJzD1-v3HJoJvqEaL7bz1_guyCnbJmEMgN78EYW5BfU7HMsVfs23JItErJFm59yPfmL07
InD2RUC8-4roY3kmqfO_oHcSRHvRpZfeEPdH_jprYCk369k2mMXL9AR5Bj4"}
Exception #-2010 at: le.f:4:17:
S" mx.moct.ru LE
wikipost
ac07.12.2018 22:02
pva пишет: Exception #-2010 at: le.f:4:17:

Не нашел нужной функции в DLL. Там важно, чтобы в текущем каталоге были именно те DLL, которые идут в комплекте (в архиве), а не из комплекта Eserv. Я не зря сделал отдельной программой, а не plugin'ом — openssl за последние годы потеряли обратную совместимость.

Возможно удобнее будет ставить в планировщик запуск не LE.exe непосредственно, а "cmd.exe /c le.bat", а внутри bat — установка нужного каталога и запуск LE.exe.
wikipost
pva10.12.2018 10:00
Сервер старый W2003 Std SP2 все DLL из архива в той же папке где LE.exe.
Запуск из bat с предварительной сменой каталога тоже пробовал, такая же ошибка.
Может быть DLL из комплекта не находят точки входа в системные модули?
wikipost
i.schelokov19.03.2019 12:41
Уважаемый АС, можно модифицировать LE.exe, что-бы дополнительно сохранялись сертификаты для сервера NGINX. Ему нужны crt и key файлы.
wikipost
ac20.03.2019 23:55
ред: 20.03.2019 23:59
pva пишет: Может быть DLL из комплекта не находят точки входа в системные модули?

Да, возможно.

Адаптировал LE к старым openssl DLL.
https://www.eserv.ru/download/LE2.rar
Этот вариант должен запуститься и нормально работать прямо в каталоге ext из Eserv/5 (туда же в ext поместить и account-key.txt).
wikipost
ac20.03.2019 23:58
i.schelokov пишет: для сервера NGINX. Ему нужны crt и key файлы.

В der-кодировке или в pem? И для nginx есть вроде их собственные утилиты. (?)
wikipost
i.schelokov21.03.2019 17:24
ред: 21.03.2019 17:26
В pem. По сути они получаются, но одним фалом. А нужно разделить на 2. В одном сертификаты, а в другом приватный ключ. Это можно сделать и руками, но хочется автоматизировать. Просто для IP телефонии NGINX используется в качестве веб сервера и ему так-же нужен сертификат.
Например вот здесь расписано получение получение сертификата от LetsEncrypt: https://habr.com/ru/company/3cx/blog/338160/
wikipost
i.schelokov26.03.2019 18:58
И заметил еще одну проблему. Если сертификат записать под именем "доменное имя сервера.pem" acWEB с ним бес проблем работает, а вот acSMTP нет. Он хочет, что-бы имя сертификата было "server.pem". acWEB такой формат имени сертификата так-же устраивает.
wikipost
pig26.03.2019 20:01
Для каждого протокола можно задать своё имя файла сертификата. По умолчанию везде server.pem. Вероятно, acWEB подкручен под множественность сертификатов — свой для каждого сайта.
wikipost
pva30.05.2019 19:06
LE опять не нашел нужную функцию в DLL, а в марте отработал нормально...
Exception #-2010 at: le.f:4:17:
wikipost
pva31.05.2019 11:33
pva пишет: LE опять не нашел нужную функцию в DLL, а в марте отработал нормально...
Exception #-2010 at: le.f:4:17:

Предыдущая версия отработала без ошибки сейчас)
wikipost
pva27.07.2021 14:25
Здравствуйте!
При попытке обновления сертификата LE.exe выдает такую ошибку
JsonPrint ERR:1980380221 2130567168 unknown reply format
DONE
Exception #-4 at: le.f:4:17:
S" mx.moct.ru LE
^ ERROR #-4
wikipost
ac27.07.2021 18:11
Letsencrypt перешли на новую версию протокола ACME, с которой наш LE.exe несовместим Переходим на certbot, он уже нормально работает под Windows.
wikipost
pva27.07.2021 19:31
ac пишет: certbot
а можно инструкцию как настроить? с какими параметрами его запускать?
wikipost
pva28.07.2021 11:07
ac пишет: certbot
бот отработал, выдал разные варианты сертификата `privkey.pem` : the private key for your certificate. `fullchain.pem`: the certificate file used in most server software. `chain.pem` : used for OCSP stapling in Nginx >=1.3.7. `cert.pem` : will break many server configurations, and should not be used
without reading further documentation (see link below). какой использовать или как из них сделать server.pem пригодный для eserv?
wikipost
pva28.07.2021 18:58
разобрался copy cert.pem + privkey.pem + chain.pem server.pem
wikipost
Работает на Eserv/5.05567 (10.02.2020)