Gmail TLS authentication failed

Linux-kezdő

Sziasztok,

 

egy új hibába futottam bele a Gmail-nél. Eddig tökéletesen működött a rendszer, de a következő hibát kapom.

https://storage.googleapis.com/support-forums-api/attachment/message-38…

Amennyire sikerült megértenem a probléma szerintem a tanúsítványok körül lehet.

https://support.google.com/mail/thread/38336515?msgid=39890656

https://www.checktls.com/TestReceiver?LEVEL=DETAIL&EMAIL=mail.matrixcbs.com

 

Ha a szerverem domain-ját adom meg, akkor rendben működik a levelezés (admin.matrixcbs-server.info), de én szeretném a mail.matrixcbs.com-ot használni, amit eddig is használtam.

Találtam egy hibát:

Cert Hostname DOES NOT VERIFY (mail.matrixcbs.com != admin.matrixcbs-server.info | DNS:admin.matrixcbs-server.info)
So email is encrypted but the host is not verified

Kérdésem, hogy merre kellene elindulnom, mi lenne a hiba?

Előre is köszi!

  • 300 megtekintés

( joco01 v | 2020. 04. 15., sze – 17:56 )

Egy certificate alapból egy hosztnévre szól. Lásd: subject alternative name

( eff | 2020. 04. 15., sze – 18:00 )

A mailszerver altal hasznalt certet le kell cserelni olyanra, amiben benne van ez a nev is. Vagy ha benne van mint subjectAltName, vagy ha benne van, akkor fel kell cserelni.

ezert hisztizik amugy:

openssl s_client -connect mail.matrixcbs.com:25 -starttls smtp
CONNECTED(00000003)
depth=2 O = Digital Signature Trust Co., CN = DST Root CA X3
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
verify return:1
depth=0 CN = admin.matrixcbs-server.info
verify return:1

Értem is meg nem is... Ha jól értem az a probléma, hogy a mail.matrixcbs.com nem tartalmazza a admin.matrixcbs-server.info serverem címét, azaz bele kell tenni ezt is "subjectAltName". Ezt hogyan és hova? A cert-be, vagy beállításba. Előre is bocsi az értetlenkedésemért, de nem világos a probléma... :(

A certbe. És ha Let's Encryptes a cert, akkor már benne van a subjectAltName most is, mert már hónapok óta ordítja minden browser, hogy ha nincs benne csak CN, akkor az már nem jó, tehát ezt már egy ideje megteszi a Let's Encrypt. Szóval az a feladat, hogy mind a két domain név legyen benne a subjectAltName mezőben.

Ha certbottal készül a Let's Encryptes cert, akkor pl. annyi -d opció kell, ahány nevet bele kell rakni a certbe:

certbot certonly --keep --agree-tos --webroot --email postmaster@example.com \
        -w /home/www/apps.example.com/htdocs -d apps.example.com \
        -w /home/www/mail.example.com/htdocs -d mail.example.com \
        -w /home/www/example.com/htdocs -d example.com

Sikerült megértenem a problémát. A probléma az, hogy a serverem certifikációjába fel kell vennem az adott server domainjait. Multi-Domain (SAN) Certificate​. Tanúsítvány kell.

Mivel még ilyet nem csináltam rögtön felmerül bennem egy kérdés... Ugye létrehozok egy Multi-Domain tanúsítványt, ez fog tartalmazni x domain nevet is. Mi van akkor ha lesz új domain név? Akkor manuálisan kell mindig generálni egy új tanúsítványt? Ezt egy I-MSCP, vagy cPanel serveren, hogy oldják meg?

Ha lesz még egy domained, akkor megint kell generálni egy tanúsítványt, x helyett immáron x+1 domainre.

Elvileg lehet olyat is, hogy több külön tanúsítvány van, és amikor a kliens becsönget, akkor megmondja, hogy melyik domainnévre érkezett, és a szerver az ahhoz tartozó tanúsítványt tolja az arcába. SNI a technológia neve, és persze csak akkor megy, ha a kliens is ismeri ezt az okosságot, különben nem mond semmit, csak várja a tanúsítványt, a szerver meg a default tanúsítványt tudja csak küldeni, amiben vagy benne van az a domainnév, amit a kliens vár, vagy nincs.