форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"мультидоменный сертификат"

Сообщение от Александр (??) on 16-Дек-05, 17:52

как средствами openssl сделать мультидоменный сертификат? Ситуация: есть почтовый сервер, принимает почту на два (или более) домена, например domain1.net и domain2.net. Если сделать сертификат только на одно доменное имя, то для пользователей второго домена почтовый клиент будет верещать, что сертификат не соответствует доменому имени. Я пробовал обьеденить два сертификата в один файл, но номер не прошел (почти не прошел - opera определяла, что сертификат составной, но вот другие клиенты, outlook и thunderbird, работают только по одному из них) может кто знает решение этой проблемы

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Сообщения по теме

[Сортировка по времени, UBB]

1. "мультидоменный сертификат"

Сообщение от lavr on 16-Дек-05, 18:29

>как средствами openssl сделать мультидоменный сертификат? > >Ситуация: есть почтовый сервер, принимает почту на два (или более) домена, >например domain1.net и domain2.net. Если сделать сертификат только на одно доменное имя, >то для пользователей второго домена почтовый клиент будет верещать, что сертификат >не соответствует доменому имени. >Я пробовал обьеденить два сертификата в один файл, но номер не прошел >(почти не прошел - opera определяла, что сертификат составной, но вот >другие клиенты, outlook и thunderbird, работают только по одному из них) > > >может кто знает решение этой проблемы секрет в изучении документации OpenSSL

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	2. "мультидоменный сертификат"
	Сообщение от Александр (??) on 17-Дек-05, 14:17
	>>как средствами openssl сделать мультидоменный сертификат? >> >>Ситуация: есть почтовый сервер, принимает почту на два (или более) домена, то же мне советчик, блин
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	3. "мультидоменный сертификат"
	Сообщение от lavr on 17-Дек-05, 17:26
	>>>как средствами openssl сделать мультидоменный сертификат? >>> >>>Ситуация: есть почтовый сервер, принимает почту на два (или более) домена, >то же мне советчик, блин еще один незнайка пополнил ряды воинствующих :(
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	4. "мультидоменный сертификат"
	Сообщение от DeadMustdie (??) on 17-Дек-05, 20:34
	>еще один незнайка пополнил ряды воинствующих :( Если lavr знает решеньице, пусть поделится, а не ворчит. Поскольку меня в своё время вопрос интересовал, но ни черта не вышло, пришлось делать по сертификату на IP. О чём документация на OpenSSL и повествует.
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	6. "мультидоменный сертификат"
	Сообщение от toor99 (??) on 18-Дек-05, 16:06
	> О чём документация на OpenSSL и повествует. Именно.
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	8. "мультидоменный сертификат"
	Сообщение от lavr on 18-Дек-05, 17:25
	>>еще один незнайка пополнил ряды воинствующих :( > >Если lavr знает решеньице, пусть поделится, а не ворчит. Поскольку меня в отправить к документации == ворчать?! Странно, те все те кто честно читают документацию - ворчуны и пердуны... Интересное рассуждение, главное из него можно и дальше выводы делать, неприятные :( >своё время вопрос интересовал, но ни черта не вышло, пришлось делать >по сертификату на IP. О чём документация на OpenSSL и повествует. > ну и все верно, только это для apache, подумать как это будет для почты - не сложная задача, потому как есть такое слово hostname, это наколка
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	9. "мультидоменный сертификат"
	Сообщение от DeadMustdie (??) on 18-Дек-05, 23:33
	>отправить к документации == ворчать?! Странно, те все те кто честно >читают документацию - ворчуны и пердуны... Интересное рассуждение, >главное из него можно и дальше выводы делать, неприятные :( Под ворчанием подразумевалось следующее выражение:   "еще один незнайка пополнил ряды воинствующих :( " >ну и все верно, только это для apache, подумать как это будет >для почты - не сложная задача, потому как есть такое слово >hostname, это наколка То бишь резюме - ни шиша другого не получится, единственный вариант: один домен -> один сертификат.
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	11. "мультидоменный сертификат"
	Сообщение от iasb (??) on 19-Дек-05, 10:47
	>>отправить к документации == ворчать?! Странно, те все те кто честно >>читают документацию - ворчуны и пердуны... Интересное рассуждение, >>главное из него можно и дальше выводы делать, неприятные :( > >Под ворчанием подразумевалось следующее выражение: >  "еще один незнайка пополнил ряды воинствующих :( " > >>ну и все верно, только это для apache, подумать как это будет >>для почты - не сложная задача, потому как есть такое слово >>hostname, это наколка > >То бишь резюме - ни шиша другого не получится, единственный вариант: >один домен -> один сертификат. есть 2 типа документации. Есть 2 типа людей. Откройте любой технический справочник 20-х-30-х годов (не надо крутить носом - не много поменялось в расчете ферм или металических конструкций, допустим) - там ясно и четко расписано что, куда, где и как. Откройте последние издававшиеся - там только адреса и телефоны организаций, к которым собрав бабло можно обратиться. Насколько я понимаю здесь общая конференция а не самореклама. Если нет желания отвечать по существу - то лучше не сотрясать воздух - толку все-равно ноль. Пивко здесь между столиками не разносят. Вопрос был задан весьма на уровне - далеко не приметив, доказывать задавшему вопрос  что он ламер - не тот случай. Кто-то начинает, кто-то дествительно заклинился и не смог глянуть с другой стороны. Документация и в первом и во втором случае если она плохо написана - не особо поможет.
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	12. "мультидоменный сертификат"
	Сообщение от lavr on 19-Дек-05, 11:02
	>>>отправить к документации == ворчать?! Странно, те все те кто честно >>>читают документацию - ворчуны и пердуны... Интересное рассуждение, >>>главное из него можно и дальше выводы делать, неприятные :( >> >>Под ворчанием подразумевалось следующее выражение: >>  "еще один незнайка пополнил ряды воинствующих :( " >> >>>ну и все верно, только это для apache, подумать как это будет >>>для почты - не сложная задача, потому как есть такое слово >>>hostname, это наколка >> >>То бишь резюме - ни шиша другого не получится, единственный вариант: >>один домен -> один сертификат. > > >есть 2 типа документации. Есть 2 типа людей. Откройте любой технический справочник >20-х-30-х годов (не надо крутить носом - не много поменялось в >расчете ферм или металических конструкций, допустим) - там ясно и четко >расписано что, куда, где и как. Откройте последние издававшиеся - там >только адреса и телефоны организаций, к которым собрав бабло можно обратиться. >Насколько я понимаю здесь общая конференция а не самореклама. Если нет >желания отвечать по существу - то лучше не сотрясать воздух - >толку все-равно ноль. Пивко здесь между столиками не разносят. Вопрос был >задан весьма на уровне - далеко не приметив, доказывать задавшему вопрос > что он ламер - не тот случай. > >Кто-то начинает, кто-то дествительно заклинился и не смог глянуть с другой стороны. >Документация и в первом и во втором случае если она плохо >написана - не особо поможет. так где ответ то, слов выше - ну оченна много... В случае virtual-mail domains, сертификат используется ОДИН и генерится для hostname. Ну оченна сложная задачища
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	13. "мультидоменный сертификат"
	Сообщение от iasb (??) on 19-Дек-05, 11:13
	> >В случае virtual-mail domains, сертификат используется ОДИН и генерится >для hostname. Ну оченна сложная задачища а что, в первом ответе  ЭТОТ ОТВЕТ НЕЛЬЗЯ БЫЛО ДАТЬ ??? Это именно ясный пример 2-х подходов - мутить воду и говорить по существу.
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	15. "мультидоменный сертификат"
	Сообщение от lavr on 19-Дек-05, 12:13
	> >> >>В случае virtual-mail domains, сертификат используется ОДИН и генерится >>для hostname. Ну оченна сложная задачища > >а что, в первом ответе  ЭТОТ ОТВЕТ НЕЛЬЗЯ БЫЛО ДАТЬ ??? > > >Это именно ясный пример 2-х подходов - мутить воду и говорить по >существу. это прозрачный пример болтунов и лентяев с отмазками о мутной документации, головной боли, поноса и тд и тп Даже после конкретного ответа - человек так и не понял, еще нужны комментарии? PS. Ничего личного.
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	20. "мультидоменный сертификат"
	Сообщение от Dr. Nebula on 25-Дек-05, 23:21
	>а что, в первом ответе  ЭТОТ ОТВЕТ НЕЛЬЗЯ БЫЛО ДАТЬ ??? 1. 2Lavr - я рад что ты вернулся, какое то время тебя не было видно 2. 2остальные :) - в первом варианте был ответ для думающих. Никогда готовое решение и знание поднесенное на тарелочке не осядет в голове. Только то что было найдено и понято в результате деятельности коры головного мозга :) Готовые рецепты стоит например стоит просить только в случае жесткого цейтнота, когда нет времени на чтение и осознание. Но никогда готовые решения не заменят знания, хотя бы потому что нет двух одинаковых серверов, и что отлично работает на одном, не будет так же работать на другом. P.S. сорри за офтопик
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	21. "мультидоменный сертификат"
	Сообщение от DeadMustdie (??) on 25-Дек-05, 23:29
	>2. 2остальные :) - в первом варианте был ответ для думающих. Никогда >готовое решение и знание поднесенное на тарелочке не осядет в голове. В первом варианте было раздувание щёк. Сам иногда грешен, потому перепутать ответ и щёкодуйство не могу. >Только то что было найдено и понято в результате деятельности коры >головного мозга :) >Готовые рецепты стоит например стоит просить только в случае жесткого >цейтнота, когда нет времени на чтение и осознание. Но никогда готовые При таком подходе на практически любой вопрос следует отвечать просто и коротко: RTFM. Только форумы придуманы для организации обмена опытом, а не в качестве коллекции вопросов без ответа. >решения не заменят знания, хотя бы потому что нет двух одинаковых >серверов, и что отлично работает на одном, не будет так же работать на >другом. Основная сила софта - унификация. Так что пассаж про то, что все сервера разные, отнесём к лирике. Если где-то кажется, что завелась нечистая сила, значит, что-то недоработали либо админы, либо программисты. >P.S. сорри за офтопик Присоединяюсь ;)
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	14. "мультидоменный сертификат"
	Сообщение от Александр (??) on 19-Дек-05, 12:06
	> >В случае virtual-mail domains, сертификат используется ОДИН и генерится >для hostname. Ну оченна сложная задачища одно из двух: или я неправильно сформулировал вопрос, или меня неправильно поняли. Я имел ввиду следующую ситуацию: хост имеет два доменных имени (domain1.net и domain2.net), соответственно принимает почту для пользователей этих двух доменов. Собственно с почтой проблем нет, все работает. Теперь я хочу заставить пользователей работать по безопасному протоколу (imaps например). Мне нужно сделать так, чтобы пользователь первого домена у себя в настройках почтового клиента в качестве почтового сервера прописал domain1.net, а пользователь второго домена - domain2.net. Если я сгенерирую сертификат на одно доменное имя, то при подключении пользователя второго домена почтовый клиент будет выдавать сообщение о несоответствии доменного имени. Хотелось бы этого избежать. И сделать сертификат, содержащий оба доменных имени. Для этого похоже надо лезть в openssl.cnf, но что там нужно сделать конкретно, в openssl.txt что-то не по глазам:( А в поисковых системах - сплошная реклама мультидоменных хостингов
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	16. "мультидоменный сертификат"
	Сообщение от shsm on 20-Дек-05, 01:04
	>> >>В случае virtual-mail domains, сертификат используется ОДИН и генерится >>для hostname. Ну оченна сложная задачища > >одно из двух: или я неправильно сформулировал вопрос, или меня неправильно поняли. > >Я имел ввиду следующую ситуацию: хост имеет два доменных имени (domain1.net и >domain2.net), соответственно принимает почту для пользователей этих двух доменов. Собственно с >почтой проблем нет, все работает. >Теперь я хочу заставить пользователей работать по безопасному протоколу (imaps например). Мне >нужно сделать так, чтобы пользователь первого домена у себя в настройках >почтового клиента в качестве почтового сервера прописал domain1.net, а пользователь второго >домена - domain2.net. Если я сгенерирую сертификат на одно доменное имя, >то при подключении пользователя второго домена почтовый клиент будет выдавать сообщение >о несоответствии доменного имени. Хотелось бы этого избежать. >И сделать сертификат, содержащий оба доменных имени. Для этого похоже надо лезть >в openssl.cnf, но что там нужно сделать конкретно, в openssl.txt что-то >не по глазам:( >А в поисковых системах - сплошная реклама мультидоменных хостингов Делаем cnf файл вида - [ v3_req ] subjectAltName = email:copy,DNS:host.dom1.com,DNS:host.dom2.com И при генерации реквеста вызываем этой файл так: -extensions v3_req -extfile name.cnf
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	17. "мультидоменный сертификат"
	Сообщение от dsl on 20-Дек-05, 03:47
	>Делаем cnf файл вида - >[ v3_req ] >subjectAltName = email:copy,DNS:host.dom1.com,DNS:host.dom2.com > >И при генерации реквеста вызываем этой файл так: >-extensions v3_req -extfile name.cnf тема учень интересна.. в дополнение если добавляется еще один домен, то придется перегенерировать сертификат! или все таки  ситуация с ip или hostname спасает?
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	18. "мультидоменный сертификат"
	Сообщение от lavr on 20-Дек-05, 11:40
	>>Делаем cnf файл вида - >>[ v3_req ] >>subjectAltName = email:copy,DNS:host.dom1.com,DNS:host.dom2.com >> >>И при генерации реквеста вызываем этой файл так: >>-extensions v3_req -extfile name.cnf > > >тема учень интересна.. >в дополнение если добавляется еще один домен, то придется перегенерировать сертификат! придется, про subjectAltName я умолчал потому что не помню с какой версии openssl появилась возможность ее использования, ну и чаще всего ее используют для shared сертификатов в Apache, появилась она не так уж давно. >или все таки  ситуация с ip или hostname спасает? ситуация с ip == hostname - на все случаи жизни, объясняется просто, основной интерфейс --привязка(bind)--> основной ip, imaps/pop3s обычно слушают *.*, но поднимаются на чем - правильно, на машине у которой конкретный hostname и он есть основной: cat /etc/hosts, ifconfig Соответственно как генерить сертификат? Правильно - использовать для CN=hostname (понятно что в FQDN формате). Все и не парится ни с какими virtual-domains & virtual-hosts. Есть понятие - trusted-доверенный сертификат, в этом основная идея, мало того, в почтовых клиентах можно использовать no-validate-cert. Есть ТЕХНОЛОГИЯ, в рамках технологии и нужно действовать.
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	19. "мультидоменный сертификат"
	Сообщение от Anonim on 23-Дек-05, 08:16
	> >Делаем cnf файл вида - >[ v3_req ] >subjectAltName = email:copy,DNS:host.dom1.com,DNS:host.dom2.com > >И при генерации реквеста вызываем этой файл так: >-extensions v3_req -extfile name.cnf OK, все получилось subjectAltName можно вставить непосредственно в openssl.cnf в секцию [ usr_cert ] а в качестве commonName можно написать все что угодно
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	5. "мультидоменный сертификат"
	Сообщение от toor99 (??) on 18-Дек-05, 16:05
	>>>как средствами openssl сделать мультидоменный сертификат? >>> >>>Ситуация: есть почтовый сервер, принимает почту на два (или более) домена, >то же мне советчик, блин Извини, чему-то можно научить того, кто этого сам хочет. А кто желает чтобы ему разжевали и в рот положили, как правило, идёт прямиком или в платный саппорт, или на три волшебные руны.
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	7. "мультидоменный сертификат"
	Сообщение от lavr on 18-Дек-05, 17:18
	>>>>как средствами openssl сделать мультидоменный сертификат? >>>> >>>>Ситуация: есть почтовый сервер, принимает почту на два (или более) домена, >>то же мне советчик, блин > >Извини, чему-то можно научить того, кто этого сам хочет. А кто желает >чтобы ему разжевали и в рот положили, как правило, идёт прямиком >или в платный саппорт, или на три волшебные руны. угу, поводом отправления к документации, был сам вопрос: МУЛЬТИДОМЕННЫЙ сертификат. Ключевое слово выделено, сам вопрос говорит о том что на документацию даже не смотрели, про google уже и речи нет. Если бы не было высказывания: "то же мне советчик, блин" - я бы пояснил если человек НУ НЕ МОЖЕТ НАЙТИ или додуматься, понять.
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	10. "мультидоменный сертификат"
	Сообщение от DustpaN on 19-Дек-05, 10:31
	http://www.postfix.org/SASL_README.html
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

22. "мультидоменный сертификат"

Сообщение от Александр (??) on 23-Май-06, 12:27

>как средствами openssl сделать мультидоменный сертификат? > >Ситуация: есть почтовый сервер, принимает почту на два (или более) домена, >например domain1.net и domain2.net. Если сделать сертификат только на одно доменное имя, >то для пользователей второго домена почтовый клиент будет верещать, что сертификат >не соответствует доменому имени. >Я пробовал обьеденить два сертификата в один файл, но номер не прошел >(почти не прошел - opera определяла, что сертификат составной, но вот >другие клиенты, outlook и thunderbird, работают только по одному из них) > > >может кто знает решение этой проблемы Все оказалось очень просто!!!! правильное название этого дела: multiline policy! делаем так: 0.CN=domain1.net 1.CN=domain2.net 2.CN=192.168.1.1 3.CN=192.168.0.1 .... (и сколько еще там...) ВСЕ!!!

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]