04.02.2016 19:07, Artem Chuprina пишет: > Sohin Vyacheslav -> debian-russian@lists.debian.org @ Thu, 4 Feb 2016 > 13:06:55 +0200: > > >> А отношение к делу имеют tls_certificate и tls_privatekey. И в > >> tls_certificate не надо класть private key. У них, собственно, и > >> права-то обычно разные. Сертификат - публичная информация, а секретный > >> ключ - отнюдь. А вот оба сертификата - и свой, и промежуточный - как > >> раз надо, именно в этом порядке.
я убрал ключ из exim.crt и раскомментировал строку с exim.key в exim4.conf => всё так-же работает, визуально в логе ничего не изменилось... в http://www.rldp.ru/exim/exim480r/glava38.htm указано: tls_certificate =/some/file/name tls_privatekey =/some/file/name Это может быть один и тот же файл, если в нём содержатся сертификат и ключ. > Права на эти файлы > > -r-------- 1 Debian-exim root 1679 Oct 31 2014 /etc/exim4/lasgalen.nest.key > -rw-r--r-- 1 root root 4824 Mar 23 2014 > /etc/ssl/certs/lasgalen.nest.crt спасибо, права на ключ подправил для секьюрности... > > Плюс еще момент в аутентификации: > > begin authenticators > > dovecot_login: > driver = dovecot > public_name = LOGIN > server_advertise_condition = ${if eq{$tls_cipher}{}{no}{yes}} > server_socket = /var/run/dovecot/auth-client > server_set_id = $auth1 > > dovecot_plain: > driver = dovecot > public_name = PLAIN > server_advertise_condition = ${if eq{$tls_cipher}{}{no}{yes}} > server_socket = /var/run/dovecot/auth-client > server_set_id = $auth1 > > Типа, если у нас нету TLS, даже не пытаться предлагать аутентификацию. > спасибо, добавил строку условия server_advertise_condition = ${if eq{$tls_cipher}{}{no}{yes}} в аутентификаторы > В моем случае я пользуюсь собственным CA, и у меня нет промежуточного, > но разница должна быть исключительно в содержимом файла, на который > указывает tls_certificate. > > А глядя на конфиг на ноутбуке (на ноуте, в отличие от сервера, он у меня > не ручной, а сконфигурированный через дебиановскую систему), я наблюдаю, > что дефолты будут такие: > > tls_advertise_hosts = * > tls_certificate = /etc/exim4/exim.crt > tls_privatekey = /etc/exim4/exim.key > tls_verify_certificates = /etc/ssl/certs/ca-certificates.crt > > (требовать клиентских сертификатов он при этом не будет, поскольку > tls_verify_hosts и tls_try_verify_hosts не выставлены; но тут видно, что > tls_verify_certificates - это набор сертификатов CA, которыми подписаны > клиентские, что логично) > в http://www.rldp.ru/exim/exim480r/glava38.htm также указано: Если установлена опция tls_verify_certificates, она должна быть именем файла или (только для OpenSSL, не для GnuTLS) каталогом, который как ожидается содержит коллекцию серверных сертификатов. имеется в виду не сертификат exim.crt, a ca-certificates.crt? -- BW, Сохин Вячеслав
