[решено] Kerio Connect и SSL - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Сетевые технологии (http://forum.oszone.net/forumdisplay.php?f=31)

- - [решено] Kerio Connect и SSL (http://forum.oszone.net/showthread.php?t=340715)

Kerio Connect и SSL

Помогите разобраться.
Цепочка сертификата следующая: "*.site.ru"->"Sectigo RSA Domain Validation Secure Server CA"->"USERTrust RSA Certification Authority"->"AddTrust External CA Root"

Точно так же по этой цепочке был сформирован crt файл. Который был подключен в kerio connect и установлен как основной. Kerio виндовская версия
Такой же сертификат подключен на сайте у хостера. Айпи сайта на хостере и айпи mx записи отличаются.

при проверке через sslcheckers.com сайта компании - ошибок нет, вся цепочка проходит тестирование.
при проверке mx.site.ru, выходит ошибка на "AddTrust External CA Root"
sslshopper.com так же на mx.site.ru показывает цепочку не из 4-х, а трех сертификатов.
Служба поддержки хостера говорит, что необходимо на стороне mx.site.ru подключить "AddTrust External CA Root". В ОС данный сертификат присутствует, смотрел через консоль сертификатов ОС.
В общем по этой причине и не устанавливается SSL соединение.

Цитата:

Цитата ANDiv1976

при проверке mx.site.ru »

Проверке чем?

Цитата:

Цитата ANDiv1976

выходит ошибка на "AddTrust External CA Root" »

Какая ошибка?

Цитата:

Цитата ANDiv1976

sslshopper.com так же на mx.site.ru показывает цепочку не из 4-х, а трех сертификатов. »

Корневые сертификаты встроены в браузеры и в случае https не обязательны.

Цитата:

Цитата Jula0071

Проверке чем? »

https://www.sslchecker.com/sslchecker

Цитата:

Цитата Jula0071

Какая ошибка? »

Вот такого рода

Цитата:

depth=2 /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust R
SA Certification Authority
verify error:num=20:unable to get local issuer certificate
verify return:0

Цепочка сертификатов повторяю следующая
"*.site.ru"->"Sectigo RSA Domain Validation Secure Server CA"->"USERTrust RSA Certification Authority"->"AddTrust External CA Root"

Цитата:

Цитата Jula0071

Корневые сертификаты встроены в браузеры и в случае https не обязательны. »

вкурсе. но на всякий случай я повторно внедрил этот сертификат корневой.
есть подозрение, что kerio connect может не видеть его. машина на windows server 2016 и на ней поднят kerio connect

Цитата:

Цитата ANDiv1976

"AddTrust External CA Root" »

находится только в OS trust store или помещён в файл с остальными intermediate у kerio? (документация у них конечно атас)

Цитата:

Цитата Jula0071

находится только в OS trust store »

Находится только в OC.

Цитата:

Цитата Jula0071

или помещён в файл с остальными intermediate у kerio? (документация у них конечно атас) »

Гмм.... надо глянуть где вообще в керио это находится

Цитата:

Цитата ANDiv1976

Гмм.... надо глянуть где вообще в керио это находится »

https://www.ssl247.com/support/insta...io-mail-server - может поможет.

Цитата:

Цитата Jula0071

https://www.ssl247.com/support/insta...io-mail-server - может поможет. »

делал по такой схеме. один фиг

вот, что происходит вообще.
машина на котором установлен Kerio Connect, в нем есть все корневые сертификаты. в самом Kerio установлен наш сертификат.
Из вне до этой машины прокинуты 443 и 993 порты, т.е. https и imaps
при проверке ссл соединения из вне по 443 порты - все тесты проходят нормально.
в логах сервера следующие записи

Код:

[30/May/2019 11:14:41][3224] {conn} Connection from 192.64.115.26:39080 to 192.168.1.215:443, socket 5908.

[30/May/2019 11:14:41][3224] {conn} SSL debug: id 0000000001D988A0 SSL handshake started: before/accept initialization

[30/May/2019 11:14:41][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:before/accept initialization

[30/May/2019 11:14:41][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:error in SSLv2/v3 read client hello A

[30/May/2019 11:14:41][3224] {conn} SSL debug: id 0000000001D988A0 Client requests server by name: mx.<site>.ru

[30/May/2019 11:14:41][3224] {conn} SSL debug: id 0000000001D988A0 Used default server context for connection by name: mx.<site>.ru

[30/May/2019 11:14:41][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 read client hello A

[30/May/2019 11:14:41][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 write server hello A

[30/May/2019 11:14:41][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 write certificate A

[30/May/2019 11:14:41][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 write key exchange A

[30/May/2019 11:14:41][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 write server done A

[30/May/2019 11:14:41][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 flush data

[30/May/2019 11:14:41][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:error in SSLv3 read client certificate A

[30/May/2019 11:14:41][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:error in SSLv3 read client certificate A

[30/May/2019 11:14:41][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 read client key exchange A

[30/May/2019 11:14:41][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 read certificate verify A

[30/May/2019 11:14:41][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 read finished A

[30/May/2019 11:14:41][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 write session ticket A

[30/May/2019 11:14:41][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 write change cipher spec A

[30/May/2019 11:14:41][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 write finished A

[30/May/2019 11:14:41][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 flush data

[30/May/2019 11:14:41][3224] {conn} SSL debug: id 0000000001D988A0 SSL handshake done: SSL negotiation finished successfully

[30/May/2019 11:14:41][3224] {conn} Established secure server connection from 192.64.115.26:39080 to 192.168.1.215:443 using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384, id 0000000008775E38

[30/May/2019 11:14:41][3224] {conn} SSL debug: id 0000000001D988A0 SSL3 alert write:warning:close notify

[30/May/2019 11:14:41][3224] {conn} Closing socket 5908

[30/May/2019 11:14:42][3224] {conn} Connection from 192.64.115.26:39082 to 192.168.1.215:443, socket 6312.

[30/May/2019 11:14:42][3224] {conn} SSL debug: id 0000000001D988A0 SSL handshake started: before/accept initialization

[30/May/2019 11:14:42][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:before/accept initialization

[30/May/2019 11:14:42][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:error in SSLv2/v3 read client hello A

[30/May/2019 11:14:42][3224] {conn} SSL debug: id 0000000001D988A0 Client requests server by name: mx.<site>.ru

[30/May/2019 11:14:42][3224] {conn} SSL debug: id 0000000001D988A0 Used default server context for connection by name: mx.<site>.ru

[30/May/2019 11:14:42][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 read client hello A

[30/May/2019 11:14:42][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 write server hello A

[30/May/2019 11:14:42][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 write certificate A

[30/May/2019 11:14:42][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 write key exchange A

[30/May/2019 11:14:42][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 write server done A

[30/May/2019 11:14:42][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 flush data

[30/May/2019 11:14:42][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:error in SSLv3 read client certificate A

[30/May/2019 11:14:42][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:error in SSLv3 read client certificate A

[30/May/2019 11:14:42][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 read client key exchange A

[30/May/2019 11:14:42][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 read certificate verify A

[30/May/2019 11:14:42][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 read finished A

[30/May/2019 11:14:42][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 write change cipher spec A

[30/May/2019 11:14:42][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 write finished A

[30/May/2019 11:14:42][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 flush data

[30/May/2019 11:14:42][3224] {conn} SSL debug: id 0000000001D988A0 SSL handshake done: SSL negotiation finished successfully

[30/May/2019 11:14:42][3224] {conn} Established secure server connection from 192.64.115.26:39082 to 192.168.1.215:443 using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384, id 0000000008775E38

[30/May/2019 11:14:42][3224] {conn} SSL debug: id 0000000001D988A0 SSL3 alert write:warning:close notify

[30/May/2019 11:14:42][3224] {conn} Closing socket 6312

[30/May/2019 11:14:43][3224] {conn} Connection from 192.64.115.26:39084 to 192.168.1.215:443, socket 5912.

[30/May/2019 11:14:43][3224] {conn} SSL debug: id 0000000001D988A0 SSL handshake started: before/accept initialization

[30/May/2019 11:14:43][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:before/accept initialization

[30/May/2019 11:14:43][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:error in SSLv2/v3 read client hello A

[30/May/2019 11:14:43][3224] {conn} SSL debug: id 0000000001D988A0 Client requests server by name: mx.<site>.ru

[30/May/2019 11:14:43][3224] {conn} SSL debug: id 0000000001D988A0 Used default server context for connection by name: mx.<site>.ru

[30/May/2019 11:14:43][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 read client hello A

[30/May/2019 11:14:43][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 write server hello A

[30/May/2019 11:14:43][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 write change cipher spec A

[30/May/2019 11:14:43][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 write finished A

[30/May/2019 11:14:43][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 flush data

[30/May/2019 11:14:43][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:error in SSLv3 read finished A

[30/May/2019 11:14:43][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:error in SSLv3 read finished A

[30/May/2019 11:14:43][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 read finished A

[30/May/2019 11:14:43][3224] {conn} SSL debug: id 0000000001D988A0 SSL handshake done: SSL negotiation finished successfully

[30/May/2019 11:14:43][3224] {conn} Established secure server connection from 192.64.115.26:39084 to 192.168.1.215:443 using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384, id 0000000008775E38

[30/May/2019 11:14:43][3224] {conn} SSL debug: id 0000000001D988A0 SSL3 alert write:warning:close notify

[30/May/2019 11:14:43][3224] {conn} Closing socket 5912

[30/May/2019 11:14:44][3224] {conn} Connection from 192.64.115.26:39086 to 192.168.1.215:443, socket 6084.

[30/May/2019 11:14:44][3224] {conn} SSL debug: id 0000000001D988A0 SSL handshake started: before/accept initialization

[30/May/2019 11:14:44][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:before/accept initialization

[30/May/2019 11:14:44][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:error in SSLv2/v3 read client hello A

[30/May/2019 11:14:44][3224] {conn} SSL debug: id 0000000001D988A0 Client requests server by name: mx.<site>.ru

[30/May/2019 11:14:44][3224] {conn} SSL debug: id 0000000001D988A0 Used default server context for connection by name: mx.<site>.ru

[30/May/2019 11:14:44][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 read client hello A

[30/May/2019 11:14:44][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 write server hello A

[30/May/2019 11:14:44][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 write change cipher spec A

[30/May/2019 11:14:44][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 write finished A

[30/May/2019 11:14:44][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 flush data

[30/May/2019 11:14:44][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:error in SSLv3 read finished A

[30/May/2019 11:14:44][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:error in SSLv3 read finished A

[30/May/2019 11:14:44][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 read finished A

[30/May/2019 11:14:44][3224] {conn} SSL debug: id 0000000001D988A0 SSL handshake done: SSL negotiation finished successfully

[30/May/2019 11:14:44][3224] {conn} Established secure server connection from 192.64.115.26:39086 to 192.168.1.215:443 using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384, id 0000000008775E38

[30/May/2019 11:14:44][3224] {conn} SSL debug: id 0000000001D988A0 SSL3 alert write:warning:close notify

[30/May/2019 11:14:44][3224] {conn} Closing socket 6084

[30/May/2019 11:14:45][3224] {conn} Connection from 192.64.115.26:39088 to 192.168.1.215:443, socket 5920.

[30/May/2019 11:14:45][3224] {conn} SSL debug: id 0000000001D988A0 SSL handshake started: before/accept initialization

[30/May/2019 11:14:45][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:before/accept initialization

[30/May/2019 11:14:45][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:error in SSLv2/v3 read client hello A

[30/May/2019 11:14:45][3224] {conn} SSL debug: id 0000000001D988A0 Client requests server by name: mx.<site>.ru

[30/May/2019 11:14:45][3224] {conn} SSL debug: id 0000000001D988A0 Used default server context for connection by name: mx.<site>.ru

[30/May/2019 11:14:45][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 read client hello A

[30/May/2019 11:14:45][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 write server hello A

[30/May/2019 11:14:45][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 write change cipher spec A

[30/May/2019 11:14:45][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 write finished A

[30/May/2019 11:14:45][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 flush data

[30/May/2019 11:14:45][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:error in SSLv3 read finished A

[30/May/2019 11:14:45][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:error in SSLv3 read finished A

[30/May/2019 11:14:45][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 read finished A

[30/May/2019 11:14:45][3224] {conn} SSL debug: id 0000000001D988A0 SSL handshake done: SSL negotiation finished successfully

[30/May/2019 11:14:45][3224] {conn} Established secure server connection from 192.64.115.26:39088 to 192.168.1.215:443 using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384, id 0000000008775E38

[30/May/2019 11:14:45][3224] {conn} SSL debug: id 0000000001D988A0 SSL3 alert write:warning:close notify

[30/May/2019 11:14:45][3224] {conn} Closing socket 5920

по 993 порту - нет, тест зависает. тестирую через https://www.sslchecker.com/sslchecker
при этом на сервере в логах следующее

Код:

[30/May/2019 11:09:38][1172] {imaps} Task 18 handler BEGIN

[30/May/2019 11:09:38][1172] {conn} Connection from 192.64.115.26:40360 to 192.168.1.215:993, socket 6012.

[30/May/2019 11:09:38][1172] {conn} SSL debug: id 0000000001D988A0 SSL handshake started: before/accept initialization

[30/May/2019 11:09:38][1172] {conn} SSL debug: id 0000000001D988A0 SSL_accept:before/accept initialization

[30/May/2019 11:09:38][1172] {conn} SSL debug: id 0000000001D988A0 SSL_accept:error in SSLv2/v3 read client hello A

[30/May/2019 11:09:38][1172] {conn} SSL debug: id 0000000001D988A0 Client requests server by name: mx.<site>.ru

[30/May/2019 11:09:38][1172] {conn} SSL debug: id 0000000001D988A0 Used default server context for connection by name: mx.<site>.ru

[30/May/2019 11:09:38][1172] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 read client hello A

[30/May/2019 11:09:38][1172] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 write server hello A

[30/May/2019 11:09:38][1172] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 write certificate A

[30/May/2019 11:09:38][1172] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 write key exchange A

[30/May/2019 11:09:38][1172] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 write server done A

[30/May/2019 11:09:38][1172] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 flush data

[30/May/2019 11:09:38][1172] {conn} SSL debug: id 0000000001D988A0 SSL_accept:error in SSLv3 read client certificate A

[30/May/2019 11:10:25][1172] {conn} SSL debug: id 0000000001D988A0 SSL_accept:error in SSLv3 read client certificate A

[30/May/2019 11:10:25][1172] {conn} Cannot accept SSL connection from 192.64.115.26:40360 to 192.168.1.215:993: SSL code 5, system error: (0) Операция успешно завершена.

[30/May/2019 11:10:25][1172] {imaps} Task 18 handler END

[30/May/2019 11:10:25][1172] {conn} Closing socket 6012

Попробуйте провести тестовую imap-сессию сами –
openssl s_client -connect mx.site.ru:993

результары тетса. часть информации вырезал. та которая не интересная.

Код:

depth=2 C = US, ST = New Jersey, L = Jersey City, O = The USERTRUST Network, CN = USERTrust RSA Certification Authority

verify error:num=20:unable to get local issuer certificate

verify return:1

depth=1 C = GB, ST = Greater Manchester, L = Salford, O = Sectigo Limited, CN = Sectigo RSA Domain Validation Secure Ser

ver CA

verify return:1

depth=0 OU = Domain Control Validated, OU = PositiveSSL Wildcard, CN = *.<site>.ru

verify return:1



CONNECTED(0000022C)

---

Certificate chain

 0 s:OU = Domain Control Validated, OU = PositiveSSL Wildcard, CN = *.<site>.ru

   i:C = GB, ST = Greater Manchester, L = Salford, O = Sectigo Limited, CN = Sectigo RSA Domain Validation Secure Server CA

 1 s:C = GB, ST = Greater Manchester, L = Salford, O = Sectigo Limited, CN = Sectigo RSA Domain Validation Secure Server CA

   i:C = US, ST = New Jersey, L = Jersey City, O = The USERTRUST Network, CN = USERTrust RSA Certification Authority

 2 s:C = US, ST = New Jersey, L = Jersey City, O = The USERTRUST Network, CN = USERTrust RSA Certification Authority

   i:C = SE, O = AddTrust AB, OU = AddTrust External TTP Network, CN = AddTrust External CA Root

---

Server certificate



subject=OU = Domain Control Validated, OU = PositiveSSL Wildcard, CN = *.<site>.ru



issuer=C = GB, ST = Greater Manchester, L = Salford, O = Sectigo Limited, CN = Sectigo RSA Domain Validation Secure Server CA



---

No client certificate CA names sent

Peer signing digest: SHA256

Peer signature type: RSA

Server Temp Key: ECDH, P-256, 256 bits

---

SSL handshake has read 5191 bytes and written 451 bytes

Verification error: unable to get local issuer certificate

---

New, TLSv1.2, Cipher is ECDHE-RSA-AES256-GCM-SHA384

Server public key is 2048 bit

Secure Renegotiation IS supported

Compression: NONE

Expansion: NONE

No ALPN negotiated

SSL-Session:

    Protocol  : TLSv1.2

    Cipher    : ECDHE-RSA-AES256-GCM-SHA384

    Session-ID: 1C725759C2B984A4B297B13323CE26F8AAC1692941E51AAA5BDC04D4B05A4EE3

    Session-ID-ctx: 

    Master-Key: 6CDC5646D24A389FA0AC58135603E866FC65292A29E0BB79EBE23FCB5C000F8B78E5E0BD11AF9EC7442FCA645494ABC6

    PSK identity: None

    PSK identity hint: None

    SRP username: None

    TLS session ticket lifetime hint: 300 (seconds)

    TLS session ticket:

    0000 - a3 e5 36 c0 b0 3e b8 b3-f9 c3 6b 2f a3 b4 e2 9a   ..6..>....k/....

    0010 - 81 35 15 7a 4b dd 2e 0f-a0 b8 9d ac 9b 48 df 28   .5.zK........H.(

    0020 - 1b a2 29 a1 2e 3b 49 35-5b 30 43 1d 06 84 9e 08   ..)..;I5[0C.....

    0030 - 0a 4a 78 54 46 7a f5 12-83 82 f4 3a 41 22 4e 49   .JxTFz.....:A"NI

    0040 - dc 28 cb 7b 70 7b cf 35-25 c0 12 f9 da aa 19 cd   .(.{p{.5%.......

    0050 - 57 f2 cd 6b de d4 6d a5-a0 f7 9e 1b bc 4d e8 da   W..k..m......M..

    0060 - 03 5b fc ce ca 0d d6 44-50 53 0b 13 3c 69 de d7   .[.....DPS..<i..

    0070 - d8 50 ba e6 99 ae da d0-ab 4f 30 f1 0b 1c 36 9f   .P.......O0...6.

    0080 - fc c8 82 14 73 77 5d 23-e9 ee 00 71 54 63 11 ec   ....sw]#...qTc..

    0090 - 95 66 b8 4e c2 4a e1 df-54 c1 df 37 c2 4b eb 8e   .f.N.J..T..7.K..

    00a0 - d5 11 9a 32 18 3e f0 70-f0 cf d6 ea f2 4b e3 cc   ...2.>.p.....K..

    00b0 - f1 6d f2 81 3c 2f fe ca-b5 02 b9 a0 10 8c d6 22   .m..</........."



    Start Time: 1559206636

    Timeout   : 7200 (sec)

    Verify return code: 20 (unable to get local issuer certificate)

    Extended master secret: no

---

* OK Kerio Connect 9.2.9 patch 1 IMAP4rev1 server ready

подозрительная запись тут
verify error:num=20:unable to get local issuer certificate

В Керио надо лепить конечный и промежуточные сертификаты в один, это было сделано?

Цитата:

If your certificate authority uses intermediate certificates, follow the steps in intermediate certificates before importing the certificate.

https://manuals.gfi.com/en/kerio/con...t-intermediate

Цитата:

Цитата DJ Mogarych

В Керио надо лепить конечный и промежуточные сертификаты в один, это было сделано? »

да! я взял свой сертификат и в него в конце добавил вот эту цепочку

Код:

после этот сертификат подключил через вебморду kerio connect, указав файл ключа
помимо этого в папку kerio\mailserver\sslca
были скопированы сертификаты SectigoRSADomainValidationSecureServerCA.crt , SectigoRSADomainValidationSecureServerCA.crt USERTrustRSAAddTrustCA.crt , AddTrustExternalCARoot.crt
которые кстати и есть в той цепочке
ну и после перезапушена служба керио

Прогоните этот тест, там много информации выдаётся:
https://www.ssllabs.com/ssltest/

Кстати, Керио Коннект выставлен напрямую в интернет, т.е., он сам принимает внешние подключения?

Цитата:

Цитата DJ Mogarych

Прогоните этот тест, там много информации выдаётся:
https://www.ssllabs.com/ssltest/ »

чуть попозжее скажу результат. пока запустил тест.

Цитата:

Цитата DJ Mogarych

Кстати, Керио Коннект выставлен напрямую в интернет, т.е., он сам принимает внешние подключения? »

IMAPS порты и HTTSP порты прокинуты напрямую на него, через маппинг
а, так машина еще через NAT выходит в инет. брендмауэр пока выключен

Цитата:

Цитата ANDiv1976

IMAPS порты и HTTSP порты »

А SMTP и SMTPS?

Цитата:

Цитата DJ Mogarych

А SMTP и SMTPS? »

эти тоже замапены. просто задача состоит в IMAPS протоколе. Mail.ru не хочет подключаться по причине того, что не поднимается SSL соединение по 993 порту.

Цитата:

Цитата DJ Mogarych

Прогоните этот тест, там много информации выдаётся:
https://www.ssllabs.com/ssltest/ »

Действительно, покакой-то причине выпадает корневой центр "AddTrust External CA Root" из цепочки. Хотя он его сертификат был внедрен в наш сертификат, по цепочке.
вот он https://support.comodo.com/index.php...externalcaroot
http://forum.oszone.net/attachment.p...1&d=1559217612

Наверняка в цепочке ошибка.
Надо открывать конечный выданный вам сертификат и идти по его цепочке вверх, просматривая и записывая точные имена и даты действия всех сертификатов, которые входят в цепочку.

Цитата:

Цитата DJ Mogarych

Так и делал! Выданный мне сертификат ссылается на SectigoRSADomainValidationSecureServerCA, который идет первым в цепочке, после моего, выданной мне эмитентом цепочке сертификатов.
Вот вся их цепочка. Можете проверить.

Код:

он в свою очередь ссылается на USERTrustRSAAddTrustCA, который в свою очередь на AddTrustExternalCARoot
Все промежуточные и корневой есть в контейнере сертификатов ОС (внедрил всюду где можно и где не можно ))), так же они есть в папке kerio sslca
и затык идет при проверке от USERTrustRSAAddTrustCA к AddTrustExternalCARoot

Прикрепил скриншоты, как выглядит цепочка сертификатов в kerio, тест сертификата на хостере и тест сертификата на kerio
В Kerio подключал сертификат, который состоит из моего сертификата плюс цепочка указанная тут.

Все проблема решилась!
Оказывается наш сертификат crt имел внутри себя скрытые символы. одним словом был не корректный сертификат.
его нам выслал эмитент.
после долгой переписки с техподдержкой, они на форуме выложили повторно сертификат. который отличался по размеру и по составу ))))
но самое прикольное что и первый определялся как наш сертификат и ссылался на USERTrustRSAAddTrustCA
после перегенерации цепочки - все заработало как надо

Цитата:

Цитата ANDiv1976

Оказывается наш сертификат crt имел внутри себя скрытые символы. одним словом был не корректный сертификат. »

Но цепочка ломалась не на нём же.
Любопытства ради, а что скажет
openssl x509 -in 1.crt -noout -text
где 1.crt файлик с вашим сертификатом в pem-формате?
Впрочем, хорошо, что разобрались.

Дык... поработало 1-2 часа и опять перестало.
хостер втирает мне что проблема на моей стороне. я им пытаюсь доказать что стопорится на корневом сертификате.
в общем зря купили этот дешевый сертификат.
не советую ни кому пользоваться в будущем этой шарагой, как хостер timeweb.ru и те сертификаты, которые они перепродают х... пойми от кого

Причём тут шарага-то? За пару часов ни сертификат, ни цепочка не могли протухнуть.

Цитата:

Цитата Jula0071

openssl x509 -in 1.crt -noout -text »

Код:

Certificate:

    Data:

        Version: 3 (0x2)

        Serial Number:

            30:8a:1d:eb:ea:fc:53:1f:5c:62:9a:fd:bd:0c:cb:39

        Signature Algorithm: sha256WithRSAEncryption

        Issuer: C = GB, ST = Greater Manchester, L = Salford, O = Sectigo Limited, CN = Sectigo RSA Domain Validation Secure Server CA

        Validity

            Not Before: May 17 00:00:00 2019 GMT

            Not After : May 16 23:59:59 2020 GMT

        Subject: OU = Domain Control Validated, OU = PositiveSSL Wildcard, CN = *.<site>.ru

        Subject Public Key Info:

            Public Key Algorithm: rsaEncryption

                RSA Public-Key: (2048 bit)

                Modulus:

                    00:b8:ca:9e:d1:f1:07:f3:94:4f:8f:6e:a5:f9:c4:

                    cd:44:80:5d:72:41:33:9e:67:1b:a8:af:3e:b3:8e:

                    9c:18:09:b4:b2:4e:da:45:76:02:f4:5f:b3:68:5e:

                    a2:ab:c0:b3:d3:7f:6e:54:b5:35:d6:2d:af:0b:6c:

                    71:27:e0:66:81:da:81:db:25:7f:1c:29:8a:13:1f:

                    2e:cf:cd:07:7e:73:1c:c0:31:94:1a:5b:b6:c1:6b:

                    90:68:3b:fd:bd:6f:79:3a:e5:94:55:76:b8:8d:af:

                    b2:37:17:53:34:04:77:20:13:05:0e:d6:ef:95:7c:

                    c5:92:c6:42:e3:5e:68:4b:4e:6a:a0:00:4c:f4:48:

                    13:67:18:20:9f:95:ff:44:95:ca:b6:60:98:61:9d:

                    27:8b:d5:18:5c:d4:24:22:3d:5a:18:1c:69:04:84:

                    5a:75:d2:17:19:aa:ec:45:bb:59:6a:61:af:c6:aa:

                    12:06:b1:3f:97:85:87:2b:18:fb:b3:2f:33:b6:75:

                    df:30:72:bd:87:74:c3:3a:9a:8a:ca:89:40:bd:a7:

                    e7:fb:3a:dd:aa:c2:7e:c6:e4:ac:89:68:03:8b:a8:

                    bf:78:b9:a0:ca:cf:b5:99:ea:b8:ad:20:a2:f6:38:

                    84:ae:3f:b8:dc:01:b6:a1:fa:f9:3b:c4:4b:dc:51:

                    a4:7b

                Exponent: 65537 (0x10001)

        X509v3 extensions:

            X509v3 Authority Key Identifier: 

                keyid:8D:8C:5E:C4:54:AD:8A:E1:77:E9:9B:F9:9B:05:E1:B8:01:8D:61:E1



            X509v3 Subject Key Identifier: 

                E7:D7:A1:06:43:B8:EF:AB:44:49:16:05:99:03:6C:45:C0:3F:D0:3B

            X509v3 Key Usage: critical

                Digital Signature, Key Encipherment

            X509v3 Basic Constraints: critical

                CA:FALSE

            X509v3 Extended Key Usage: 

                TLS Web Server Authentication, TLS Web Client Authentication

            X509v3 Certificate Policies: 

                Policy: 1.3.6.1.4.1.6449.1.2.2.7

                  CPS: https://sectigo.com/CPS

                Policy: 2.23.140.1.2.1



            Authority Information Access: 

                CA Issuers - URI:http://crt.sectigo.com/SectigoRSADomainValidationSecureServerCA.crt

                OCSP - URI:http://ocsp.sectigo.com



            X509v3 Subject Alternative Name: 

                DNS:*.<site>.ru, DNS:<site>.ru

            CT Precertificate SCTs: 

                Signed Certificate Timestamp:

                    Version   : v1 (0x0)

                    Log ID    : BB:D9:DF:BC:1F:8A:71:B5:93:94:23:97:AA:92:7B:47:

                                38:57:95:0A:AB:52:E8:1A:90:96:64:36:8E:1E:D1:85

                    Timestamp : May 17 13:21:56.384 2019 GMT

                    Extensions: none

                    Signature : ecdsa-with-SHA256

                                30:45:02:21:00:AF:51:77:F0:9C:CC:A9:94:2A:17:CB:

                                FE:50:AB:00:10:65:6E:0B:06:FE:20:FB:D7:78:F3:24:

                                5B:13:D6:ED:38:02:20:07:AF:C7:DD:E7:F9:3C:68:9C:

                                1F:C8:8A:86:BF:76:9C:3B:E1:42:DF:CB:37:D2:FB:0A:

                                16:A7:52:C6:47:66:4D

                Signed Certificate Timestamp:

                    Version   : v1 (0x0)

                    Log ID    : 5E:A7:73:F9:DF:56:C0:E7:B5:36:48:7D:D0:49:E0:32:

                                7A:91:9A:0C:84:A1:12:12:84:18:75:96:81:71:45:58

                    Timestamp : May 17 13:21:56.417 2019 GMT

                    Extensions: none

                    Signature : ecdsa-with-SHA256

                                30:46:02:21:00:EF:0A:9F:BC:9D:80:87:3C:09:CC:1E:

                                D4:16:37:4A:BE:54:CF:74:4F:8B:66:7A:BB:DB:E6:09:

                                FA:0D:77:BD:F9:02:21:00:CA:AB:F3:F1:D6:85:58:88:

                                DA:3B:EA:AB:71:C4:A9:DD:FA:05:C8:0E:DF:AD:7A:CD:

                                70:CD:7D:AB:81:1D:78:01

    Signature Algorithm: sha256WithRSAEncryption

         21:fa:f1:fb:cb:b4:dd:0c:06:0e:1c:e3:8f:69:ee:37:cf:72:

         59:d2:37:9f:3d:be:34:15:b7:61:67:bc:a8:94:79:a4:04:8c:

         4d:38:8c:5d:68:5d:c9:ea:ed:7f:8c:d2:5f:f4:21:1c:60:27:

         95:6c:fe:75:97:ce:49:de:7d:0e:a9:83:96:51:87:e3:45:e4:

         c3:b3:45:d5:27:27:fb:db:65:09:00:68:bc:ef:a9:3c:83:df:

         34:3e:ed:02:0e:d7:28:5b:81:ad:cd:0b:ac:2f:d6:31:98:24:

         e6:02:0b:a9:8e:bd:36:e9:e6:2b:b7:84:11:b1:a2:27:53:5b:

         07:0b:66:96:97:6a:d9:da:bc:d6:af:3d:b0:3c:55:1f:ec:ab:

         de:c0:f2:92:dc:27:d2:54:f7:47:75:ec:b2:ab:5b:58:cd:13:

         25:4a:5a:5e:1b:aa:14:1e:f9:e9:f7:4a:ad:5b:32:43:d4:f2:

         9a:f6:2e:e6:97:59:89:fc:3b:19:45:c2:e8:5d:f6:6b:7c:03:

         2a:db:50:6a:bc:56:89:16:77:4d:c4:d0:0c:4c:23:1f:b2:5e:

         26:d4:4f:0b:c5:54:23:87:ad:78:02:5a:9b:25:4b:52:7f:b8:

         bb:6a:09:01:af:15:5b:b0:cb:9b:e0:8e:23:47:3f:d5:1d:9b:

         15:f3:f1:d9

Цитата:

Цитата Jula0071

Причём тут шарага-то? За пару часов ни сертификат, ни цепочка не могли протухнуть. »

Да, вот хз.... не верю я им уже! Особенно то, что неделя была сначала потрачено на выяснение первой проблемы.
а, она была по их вине - был выслан не корректный сертификат.
сегодня повторно выслали, а он уже отличался на 32байта по размеру.
и сразу подошел. все заработало
через 1-2 часа все опять отвалилось и CA уже не определяется через сертификат. выпадает
вообще бред

Да вроде всё норм.

Цитата:

Цитата ANDiv1976

Да, вот хз.... не верю я им уже! »

Э... Вы ж всё по протоколу делали - создали приватный ключ (который никому не должен быть виден, кроме вашего сервера), сгенерировали CSR, его отдали CA, те на его основе сгенерили сертификат и вернули вам с цепочкой?

Цитата:

Цитата Jula0071

Если бы все было так ))) Сертификат покупался через timeweb. Оплата тоже через них.
В итоге пришло 4-е письма, два от timeweb и два от sertigo
От таймвеба в одном письме было напоминание как заходить к ним на вебморду и все такое. Во втором письме по какой ссылке необходимо заходить для управления сертификатом. http://timeweb.myorderbox.com
От Сертиго в первом письме была ссылка для окончания регистрации трансфера и сертификата с кодом валидации. И после пришло письмо от сертиго с 5-я файлами - промежуточные сертификаты, мой сертификат и файл ключа. Таймвебу был отпарвлен архивник с 4-я сертификатами. Ключ я оставил себе )))
При чем уже тогда был не верный сертификат длиной 2130байта. Вчера высылали который мне повторно таймвеб уже 2162 байта. Который пару часов поработал и перестал.
Ну вот и вся история заказа сертификата.

В общем заработало. Попробовал отойти от канонов документаций )))
сделал следующую цепочку сертификата
"наш сайт.crt->SectigoRSADomainValidationSecureServerCA.crt->USERTrustRSAAddTrustCA.crt->AddTrustExternalCARoot.crt->AddTrustExternalCARoot.crt"
Т.е., не из 4-х сертификатов, а 5-ти )))
Но это же полный бред
но он работает

Цитата:

Цитата ANDiv1976

И после пришло письмо от сертиго с 5-я файлами - промежуточные сертификаты, мой сертификат и файл ключа. »

Фигня какая-то. Это грубейшее нарушение протокола сертификации - что ключ генерируется кем-то там. Он изначально скомпрометирован. За такие штуки в своё время у симантека сертификат отозвали (и все подписанные им сертификаты в одночасье превратились в тыкву).

Цитата:

Цитата Jula0071

Да, мне самому timeweb не нравится. ибо в самом начале читал процедуру установки стороннего сертификата на свой сайт у них.
почему то там написано, что я должен передать им сертификат и ключ.

Цитата:

Для установки SSL-сертификата, приобретённого у другого поставщика, необходимо:

заказать дополнительный IP-адрес (зачем нужен дополнительный IP);
привязать новый адрес к домену (см. Настройка доп. IP после заказа);
если домен делегирован на сторонние NS-серверы – на стороне держателя NS-серверов указать в качестве A-записи домена новый IP-адрес;
направить с помощью данной формы запрос на установку сертификата, приложив файлы: сертификат, ключ от сертификата без пароля и цепочку корневых сертификатов Центра сертификации, выпустившего SSL-сертификат (не требуется для самоподписанных сертификатов).

Установка SSL-сертификата будет выполнена нашими специалистами в течение 1-2 часов.

На счет сектиго - первый и последний раз с ними связываюсь. лучше в следующем году у посерьезнее конторы сертификат куплю.
и сразу на пару лет
А, так это у меня первый опыт в этом деле )))

Цитата:

Цитата ANDiv1976

Да, мне самому timeweb не нравится. »

Это шаред хостинг какой-то? Ну то да, ключик тогда надо им отдавать. Хотя те что поприличнее, перешли на Let's Encrypt и делают всё автоматически и бесплатно. Да и вообще шаред хостинг это прошлый век, сейчас время облачных контейнеров/вм.

Цитата:

Цитата Jula0071

К сожалению хостера выбираю не я. А, компания которая сайт нам делала и поддерживает его, и отдел маркетинга.
Да и лезть в это их болото не хочеться. потом меня же и заставят все это поддерживать.
ну его нафиг......