[RESOLU] Pb de certificat avec le port POP3S

[goliath940]

Bonjour,

J'ai installé une SME 7.3, qui fonctionne très bien,

J'ai 2 clients qui sont toujours a l'exterieur, et qui on bessoin de se connecter au serveur de Mail,

Pour cela j'ai sécurisée les boites mail en les passents sur le port POP3S en 995,

sauf qu'il son obligé de validé le certificat, qui devient pénible a force.

Donc j'ai suivi les 2 docs suivant et sa ne fonctionne pas !!! avez vous une idée. !!!

http://smeserver.pialasse.com/index.php ... ok_Express
http://wiki.contribs.org/Certificate


Merci

[stephdl]

pour moi cela a fonctionné, j'ai suivi ce lien sur le forum......
a la fin du post tu verras il faut mettre le nomdomaine.com entre guillemet
"nomdomaine.com"
il y a donc une petite erreur dans le wiki !!!!

http://forums.ixus.fr/viewtopic.php?t=40023

[unnilennium]

j'ai corrigé le wiki de contribs pour les guillemets, cependnat il n'ets pas a jour car depuis 7.1.3 il suffit de faire :

Code: Tout sélectionner

config setprop modSSL CommonName www.domain.com
expand-template /home/e-smith/ssl.crt/crt

une petite remarque cependant les certificat mail et http ont été séparés depuis la 7.1.3 de souvenir il sont donc générés séparément maintenant.
ceux pour les mails sont donc maintenant dans :
/var/services/qpsmtpd/ssl
/var/services/imap/ssl
(celui utilisé pour pop est celui dans imap)

Code: Tout sélectionner

diff /var/service/imap/ssl/imapd.pem  /var/service/qpsmtpd/ssl/cert.pem

ne doit rien retourner et

Code: Tout sélectionner

diff /var/service/qpsmtpd/ssl/cert.pem /home/e-smith/ssl.pem/$HOSTNAME.`config gettype DomainName`.pem

non plus

donc a verifier que les certifs sont bien les memes, les synchroniser ou faire télécharger le bon certif en le rendant disponible (celui mail). J'ai mis a jour mon wiki dans ce sens aussi .


Les deux problème régulier quand le certificat n'est pas reconnu en suivant mon wiki sont:

- le certificat email n'a pas été mis à jour voir: http://smeserver.pialasse.com/index.php ... 3.A0_7.1.3
- le certificat ne correspond pas au domaine demandé par la connexion au pop3s :

exemple je me connecte à mail.mondomaine.com et le certificat importé est pour www.mondomaine.com, il suffit de mettre la bonne adresse dans le serveur de connexion pop3 et dans celle de smtp sur le client.

[goliath940]

Bonjour,

Merci de votre aide,

J'ai bien effectuée vos commandes mais j'ai cette erreur qui apparait.

Code: Tout sélectionner

[root@mailserver ~]# expand-template /home/e-smith/ssl.crt/crt
ERROR in /etc/e-smith/templates-custom//home/e-smith/ssl.crt: Program fragment delivered error <<syntax error at /etc/e-smith/templates-custom//home/e-smith/ssl.crt line 13, near ""mailserver................fr"
    my ">> at template line 1
ERROR: Template processing failed for //home/e-smith/ssl.crt/mailserver....................fr.crt: 1 fragment generated errors
at /sbin/e-smith/expand-template line 45
[root@mailserver ~]#


Je vois pas d'ou sa vient ?

J'ai essayée avec www.mondomaine.com et avec Mailserver.mondomaine.com.

[unnilennium]

le certificat n'ets pas regeneré a cause d'une erreure de template !!!

tu as rajouté un template personnalisé qui n'est pas adapté à SME7 ou mal modifié:

Code: Tout sélectionner

/etc/e-smith/templates-custom//home/e-smith/ssl.crt

a priori il suffit juste de lire l'erreur pour comprendre ton probleme :

Code: Tout sélectionner

line 13, near ""mailserver................fr" "
    my ">> at template line 1

my etant pour definir une variable : je dirais que tu as fait une erreure en definissant le contenu d ela variable qui est definit à la ligne 13 du template : surement des apostrophes oubliées autour d ela valeur definie a gauche du =


As tu suivit les indications données plus haut à propos ces parentheses manquante à propos du how to ?

Code: Tout sélectionner

my $CommonName = "special.myserver.com";

personnelement je desinstallerais plutot cette contrib qui n'a plus lieu d'exister sous un sme 7.3 et j'utiliserais la base de donnée. qui eviterait de faire des erreures de syntaxe, et est plus souple.

La moralité de l'histoire c'est quand on suit un how to et qui'l ne marche pas il faut faire toutes le smanipulations necessaire à annuler son installation quand il ne marche pas . En l'occuranece dans ce how la commande est précisée :

Code: Tout sélectionner

yum remove smeserver-certificate


et après tu n'as qu'a faire :

config setprop modSSL CommonName www.domain.com
expand-template /home/e-smith/ssl.crt/crt
expand-template /home/e-smith/ssl.key/key
signal-event domain-modify
signal-event email-update


et configurer tes client pour chercher le mail à l'adresse que tu as mis a la place de "www.domain.com". Puis de leur installer le nouveau certificat généré en suivant mon How to pour IE6 / outlook express. La manipulation étant à faire a chaque renouvellement du certificat (annuellement par defaut).


JPP

[goliath940]

Bonjour,

Merci de vos réponse, j'ai bien effectuée vos manip, pas d'erreur apparut le soucis s'est que je n'ai pas de .tld dans mon répertoire. Mais un point crt.

Donc quand je veut faire la copie dans l'i-bays sa ne fonctionne pas.

cp /home/e-smith/ssl.crt/mailserver.domaine.fr.tld home/e-smith/files/ibays/Primary/html

Error

j'ai du oublier une étape je s'est pas ou car j'ai suivi vos doc.

Merci encore pour un autre coup de main,

[goliath940]

Petit précision, maintenant je vois bien le certificat avec Out look, mais il veut pas le signiée,

mon soucis réside dans le fait que je ne pas le télécharger voir réponse en dessus

Merci

URGENT

[unnilennium]

si tu as bien verifié que tous les certif sont similaires (avec les commandes diff tu fait importer le certif web comme dan smon how to :

Code: Tout sélectionner

cp /home/e-smith/ssl.crt/NomDHote.NomDeDomaine.tld home/e-smith/files/ibays/Primary/html

cf : http://smeserver.pialasse.com/index.php ... 8MS_IE6.29

enc hoisissant le bon que tu as generé .... il peut en reste rplusieurs dan sle dossier au fur et à mesure des modifs de nom de domaine.

[goliath940]

Problème Résolu

Merci

[dlalleme]

Bonjour à tous,

Code: Tout sélectionner

diff /var/service/imap/ssl/imapd.pem  /var/service/qpsmtpd/ssl/cert.pem

ne doit rien retourner et

Code: Tout sélectionner

diff /var/service/qpsmtpd/ssl/cert.pem /home/e-smith/ssl.pem/$HOSTNAME.`config gettype DomainName`.pem

non plus

J'ai régénéré les certificats, mais manque de chance, je n'arrive pas à ce que ces commandes ne me ramène rien.

J'ai essayé plusieurs fois en effaçant les crt, key et pem puis en faisant de nouveau les différentes étapes; mais rien çà faire, j'ai toujours des différences.

Y a-t'il un autre moyen que celui préconisé ?

Cordialement
Denis

[unnilennium]

Bonjour à tous,

Code: Tout sélectionner

diff /var/service/imap/ssl/imapd.pem  /var/service/qpsmtpd/ssl/cert.pem

ne doit rien retourner et

Code: Tout sélectionner

diff /var/service/qpsmtpd/ssl/cert.pem /home/e-smith/ssl.pem/$HOSTNAME.`config gettype DomainName`.pem

non plus

J'ai régénéré les certificats, mais manque de chance, je n'arrive pas à ce que ces commandes ne me ramène rien.

J'ai essayé plusieurs fois en effaçant les crt, key et pem puis en faisant de nouveau les différentes étapes; mais rien çà faire, j'ai toujours des différences.

Y a-t'il un autre moyen que celui préconisé ?

Cordialement
Denis

as tu modifié le domaine pour lequel SME genere le certificat ssl : par defaut c'est hostname.domainename.tld Mais certains how to expliquent comment generer pour domainename.tld tout court ou pour whatever.domainname.tld ..... ceci peux expliquer le fait que la commande te retourne qq chose a ce moment la tape toi meme le nom pour lequel il est generé a la place de "$HOSTNAME.`config gettype DomainName`"


JPP

[dlalleme]

Bonjour,

J'ai également cela tous les matins. C'est peut être lié

Code: Tout sélectionner

/etc/cron.daily/01-rkhunter:

Warning: Process '/sbin/pppoe' (PID 26256) is listening on the network.
Warning: Process '/sbin/pppoe' (PID 26256) is listening on the network.

One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)
/etc/cron.daily/conf-mod_ssl:

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [GB]:State or Province Name (full name) [Berkshire]:Locality Name (eg, city) [Newbury]:Organization Name (eg, company) [My Company Ltd]:Organizational Unit Name (eg, section) []:Common Name (eg, your name or your server's hostname) []:Email Address []:


Cordialement

Denis

[unnilennium]

Bonjour,

J'ai également cela tous les matins. C'est peut être lié

Code: Tout sélectionner

/etc/cron.daily/01-rkhunter:

Warning: Process '/sbin/pppoe' (PID 26256) is listening on the network.
Warning: Process '/sbin/pppoe' (PID 26256) is listening on the network.

One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)
/etc/cron.daily/conf-mod_ssl:

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [GB]:State or Province Name (full name) [Berkshire]:Locality Name (eg, city) [Newbury]:Organization Name (eg, company) [My Company Ltd]:Organizational Unit Name (eg, section) []:Common Name (eg, your name or your server's hostname) []:Email Address []:


Cordialement

Denis

a priori le certificat n'arrive aps a etre generé et necessite une intervention manuelle.... qu'a tu touché dans la génération des certificats? quels how to as tu suivit ?

quelle version de sme , quels contribs ?

[dlalleme]

Bonjour,

Désolé de répondre si tard

Effectivement, j'avais installé la contrib certificate depuis le site contribs.org
Je l'ai supprimée depuis et j'ai suivi les consignes à utiliser pour gérer les certificats depuis la version 7.3.

Je l'ai fait sur d'autres serveurs et ça a fonctionné mais pas sur celui-ci. Pourtant, les serveurs sont configurés tous de la même façon même si c'est pour des sociétés différentes.

Merci

Cordialement

Denis