Hello! Nem nagyon talaltam arra peldat, hogyan kell egymasba agyazni a plugokat. Amit szeretnek csinalni: a https elereshez ssl-be http plugot agyazni, es spop3-hoz ssl-be sima plug-ot. Egy peldanak nagyon tudnek orulni :) -- Udvozlettel Zsiga
On Wed, Aug 22, 2001 at 09:23:06AM +0200, Kosa Attila wrote:
Hello! Nem nagyon talaltam arra peldat, hogyan kell egymasba agyazni a plugokat. Amit szeretnek csinalni: a https elereshez ssl-be http plugot agyazni, es spop3-hoz ssl-be sima plug-ot. Egy peldanak nagyon tudnek orulni :)
miert pont plugot, ha mar van rendes proxy is? amugy itt egy pelda: class MyHttps(PsslProxy): class EmbeddedHttp(HttpProxy): def config(self): HttpProxy.config(self) self.request_headers["User-Agent"] = \ [HTTP_CHANGE_VALUE, "Lynx/2.8.3rel.1 libwww-FM/2.14 SSL-MM/1.4.1 OpenSSL/69.69.4"] def config(self): self.server_need_ssl = TRUE self.server_verify_type = SSL_VERIFY_REQUIRED_TRUSTED self.server_ca_directory = '/etc/zorp/ca.crt' self.client_need_ssl = TRUE self.client_cert = '/etc/zorp/server.crt' self.client_key = '/etc/zorp/server.key' self.client_verify_type = 0 self.stack_proxy = self.EmbeddedHttp a fenti konfig hivatkozik az /etc/zorp/ca.crt/ konyvtarra, illetve az /etc/zorp/server.{crt,key} fileokra. A fileok szerintem egyertelmuek, a ca.crt konyvtar trusted CA certificate-ket tartalmaz ugyanolyan modon, mint az /etc/apache/ssl.crt -- Bazsi PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1
On Wed, Aug 22, 2001 at 10:21:59AM +0200, Balazs Scheidler wrote:
On Wed, Aug 22, 2001 at 09:23:06AM +0200, Kosa Attila wrote:
elereshez ssl-be http plugot agyazni, es spop3-hoz ssl-be sima plug-ot. Egy peldanak nagyon tudnek orulni :)
miert pont plugot, ha mar van rendes proxy is? amugy itt egy pelda:
Van pop3 proxy? Azt hittem, csak a fizetos valtozatban lesz.
a fenti konfig hivatkozik az /etc/zorp/ca.crt/ konyvtarra, illetve az /etc/zorp/server.{crt,key} fileokra. A fileok szerintem egyertelmuek, a ca.crt konyvtar trusted CA certificate-ket tartalmaz ugyanolyan modon, mint az /etc/apache/ssl.crt
Ezek szerint csak alairt kulcsokat lehet hasznalni? Ugyanis nalam nem alairt kulcsokkal is mukodik az spop3 (mint azt a masik listan mar irtam). Koszonom a peldat, tanulmanyozni fogom. -- Udvozlettel Zsiga
On Wed, Aug 22, 2001 at 10:27:39AM +0200, Kosa Attila wrote:
On Wed, Aug 22, 2001 at 10:21:59AM +0200, Balazs Scheidler wrote:
On Wed, Aug 22, 2001 at 09:23:06AM +0200, Kosa Attila wrote:
elereshez ssl-be http plugot agyazni, es spop3-hoz ssl-be sima plug-ot. Egy peldanak nagyon tudnek orulni :)
miert pont plugot, ha mar van rendes proxy is? amugy itt egy pelda:
Van pop3 proxy? Azt hittem, csak a fizetos valtozatban lesz.
a http-re gondoltam, az van a GPL-esben is.
a fenti konfig hivatkozik az /etc/zorp/ca.crt/ konyvtarra, illetve az /etc/zorp/server.{crt,key} fileokra. A fileok szerintem egyertelmuek, a ca.crt konyvtar trusted CA certificate-ket tartalmaz ugyanolyan modon, mint az /etc/apache/ssl.crt
Ezek szerint csak alairt kulcsokat lehet hasznalni? Ugyanis nalam nem alairt kulcsokkal is mukodik az spop3 (mint azt a masik listan mar irtam).
nem. a ca.crt ahhoz kell, hogy a szerver oldalt ellenorizze az SSL proxy ugyanugy, ahogy a bongeszod is ellenorzi. Termeszetesen az egesz ellenorzest kikapcsolhatod, de akkor nagyon konnyu man-in-the-middle-t jatszani. -- Bazsi PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1
On Wed, Aug 22, 2001 at 10:46:39AM +0200, Balazs Scheidler wrote:
On Wed, Aug 22, 2001 at 10:27:39AM +0200, Kosa Attila wrote:
On Wed, Aug 22, 2001 at 10:21:59AM +0200, Balazs Scheidler wrote:
On Wed, Aug 22, 2001 at 09:23:06AM +0200, Kosa Attila wrote:
elereshez ssl-be http plugot agyazni, es spop3-hoz ssl-be sima plug-ot. Egy peldanak nagyon tudnek orulni :)
miert pont plugot, ha mar van rendes proxy is? amugy itt egy pelda:
Van pop3 proxy? Azt hittem, csak a fizetos valtozatban lesz.
a http-re gondoltam, az van a GPL-esben is.
Bocsanatot kerek, en fogalmaztam rosszul. Plug-ot irtam, es proxy-ra gondoltam :) Egyedul a pop3-nal sikerult azt is irnom, amire gondoltam.
a fenti konfig hivatkozik az /etc/zorp/ca.crt/ konyvtarra, illetve az /etc/zorp/server.{crt,key} fileokra. A fileok szerintem egyertelmuek, a ca.crt konyvtar trusted CA certificate-ket tartalmaz ugyanolyan modon, mint az /etc/apache/ssl.crt
Nem vagyok biztos a dolgomban, ezert elkelne egy kis segitseg. Osszehoztam a kapcsolatot (egyelore sima plug proxy-val) a wines kliens es a courier spop3d-ssl kozott. Csak mindig bedob egy ablakot a kliensnek, hogy nincs hitelesitve a kulcs. A CA.pl segitsegevel elkeszitettem az igazolasokat, mar csak a megfelelo helyre kellene masolni oket. De melyiket hova? Letrejott egy newcert.pem, egy newreq.pem fajl, es a demoCA konyvtarban egy cacert.pem fajl. Melyiket hova kell tenni, hogy minden mukodjon? Ahogy en gondolom: a newcert.pem az igazolas, a newreq.pem a privat kulcsom, a cacert.pem a CA igazolasa. A newcert.pem az amit a courier spop3d-ssl-je hasznal a /usr/share/pop3d.pem fajl neven. A cacert.pem fajlt kell eljuttatni a winekhez, es azt kell beimportalniuk az Outlookba. Na de hova kell tenni a titkos kulcsot? Es ezekbol melyik kell a Zorpnak, es hova kell masolni? Es milyen neven? A nevek kotottek egyebkent, vagy tetszes szerinti nevet adhatok a fajloknak? -- Udvozlettel Zsiga
miert pont plugot, ha mar van rendes proxy is? amugy itt egy pelda:
Van pop3 proxy? Azt hittem, csak a fizetos valtozatban lesz.
a http-re gondoltam, az van a GPL-esben is.
Bocsanatot kerek, en fogalmaztam rosszul. Plug-ot irtam, es proxy-ra gondoltam :) Egyedul a pop3-nal sikerult azt is irnom, amire gondoltam.
oke
a fenti konfig hivatkozik az /etc/zorp/ca.crt/ konyvtarra, illetve az /etc/zorp/server.{crt,key} fileokra. A fileok szerintem egyertelmuek, a ca.crt konyvtar trusted CA certificate-ket tartalmaz ugyanolyan modon, mint az /etc/apache/ssl.crt
Nem vagyok biztos a dolgomban, ezert elkelne egy kis segitseg. Osszehoztam a kapcsolatot (egyelore sima plug proxy-val) a wines kliens es a courier spop3d-ssl kozott. Csak mindig bedob egy ablakot a kliensnek, hogy nincs hitelesitve a kulcs. A CA.pl segitsegevel elkeszitettem az igazolasokat, mar csak a megfelelo helyre kellene masolni oket. De melyiket hova? Letrejott egy newcert.pem, egy newreq.pem fajl, es a demoCA konyvtarban egy cacert.pem fajl. Melyiket hova kell tenni, hogy minden mukodjon? Ahogy en gondolom: a newcert.pem az igazolas, a newreq.pem a privat kulcsom, a cacert.pem a CA igazolasa. A newcert.pem az amit a courier spop3d-ssl-je hasznal a /usr/share/pop3d.pem fajl neven. A cacert.pem fajlt kell eljuttatni a winekhez, es azt kell beimportalniuk az Outlookba. Na de hova kell tenni a titkos kulcsot? Es ezekbol melyik kell a Zorpnak, es hova kell masolni? Es milyen neven? A nevek kotottek egyebkent, vagy tetszes szerinti nevet adhatok a fajloknak?
tisztazzuk a dolgokat: cacert.pem - CA publikus kulcsa, ezt kell eljuttatni az outlooknak, hogy benne kell megbizni newreq.pem - ez egy Certificate Signing Request (CSR), melyet kulcsgeneralas utan kuldd el az igenylo a CA-nak alairasra. newcert.pem - A CSR alairasa utan letrejovo certificate Kell, hogy legyen meg valahol egy a newreq.pem-hez tartozo privat kulcs. En a kovetkezo lepeseket javaslom (elso korben Zorp nelkul): CA.pl-el letrehozunk egy CA-t: /usr/lib/ssl/misc/CA.pl -newca (A CA-ra vonatkozo adatokat beirod stb., letrejon a demoCA alkonyvtar) openssl req -newkey rsa:1024 -keyout pop3s.key -out pop3s.csr (letrejon egy privat kulcs, bekeri a pop3s service adatait, es az ahhoz tartozo csrt) openssl ca -in pop3s.csr -out pop3s.crt (letrejon a pop3s.crt) Namost, a demoCA/cacert.pem-et be kell importalni a windows-os gep kulcstaraba, mint trusted kulcs. Ezt nem tudom pontosan hogyan kell, de az IE-ben a Kulcsok alatt biztosan megteheto. A Courier-IMAP-nak szuksege van a pop3s.crt-re, es a pop3s.key-re. Elkepzelheto, hogy mindkettot egy fileban keresi, akkor ossze kell masolni a -----BEGIN xxxxx ----- reszeket egy fileba, es azt megadni neki. Ezek utan elvileg Zorp-os pluggal, vagy kozvetlenul mennie kell a dolognak. A zorppal mit szeretnel csinalni? A zorpig es a zorptol is titkositottan menjen a forgalom? Ha igen, akkor ket dolgot kell beallitanod: 1. a kliens oldalon bekapcsolni az ssl-t (self.client_need_ssl = TRUE), es krealni egy certificate+privat kulcsot az elozoeknek megfeleloen, amit megadsz a proxynak (self.client_cert = '/etc/zorp/pop3sproxy.crt' ill. self.client_key = 'etc/zorp/pop3sproxy.key') Itt nem kell peer certificate ellenorzes. 2. a szerver oldalon szinten bekapcsolod az SSL-t (self.server_need_ssl = TRUE). Gondolom, hogy szeretned authentikalni a POP3S szervert, ehhez be kell kapcsolni a certificate ellenorzest (self.server_verify_type = SSL_VERIFY_REQUIRED_TRUSTED), majd meg kell mondanod a Zorp-nak, hogy milyen CA-k legyenek szamara elfogadhatoak (self.server_ca_directory = '/etc/zorp/pop3s.ca/') Na roviden ennyi, remelem ertheto voltam :) -- Bazsi PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1
On Wed, Aug 22, 2001 at 05:43:58PM +0200, Balazs Scheidler wrote:
hogy minden mukodjon? Ahogy en gondolom: a newcert.pem az igazolas, a newreq.pem a privat kulcsom, a cacert.pem a CA igazolasa. A newcert.pem az amit a courier spop3d-ssl-je hasznal a /usr/share/pop3d.pem fajl neven. A cacert.pem fajlt kell eljuttatni a winekhez, es azt kell beimportalniuk az
tisztazzuk a dolgokat:
cacert.pem - CA publikus kulcsa, ezt kell eljuttatni az outlooknak, hogy benne kell megbizni
Ez oke, ennek nem valtoztattad meg a nevet :)
newreq.pem - ez egy Certificate Signing Request (CSR), melyet kulcsgeneralas utan
Ezt nevezted te pop3s.key -nek. Meg pop3s.csr -nek is.
kuldd el az igenylo a CA-nak alairasra. newcert.pem - A CSR alairasa utan letrejovo certificate
Ezt nevezted te pop3s.crt -nek. Jol kovettem a nevek megcsereleset? Bocsanatot kerek, amiert sokat fogok idezni az elozo levelbol, de nem sikerult megoldani a leirt modon a problemat. Leirom, hogy mit csinaltam, es hogy hol akadtam el.
Kell, hogy legyen meg valahol egy a newreq.pem-hez tartozo privat kulcs. En
A demoCA/private/ konyvtarban letrejott egy cakey.pem nevu fajl. De mihez kell ez, es mit kell vele csinalni?
a kovetkezo lepeseket javaslom (elso korben Zorp nelkul):
CA.pl-el letrehozunk egy CA-t:
/usr/lib/ssl/misc/CA.pl -newca (A CA-ra vonatkozo adatokat beirod stb., letrejon a demoCA alkonyvtar)
Megcsinaltam. Beirtam egy jelszot, aztan a kerdesekre a kovetkezo valaszokat adtam: Country Name (2 letter code) [AU]:HU State or Province Name (full name) [Some-State]:Hungary Locality Name (eg, city) []:Miskolc Organization Name (eg, company) [Internet Widgits Pty Ltd]:Cegnev Organizational Unit Name (eg, section) []:Sysadmin Common Name (eg, YOUR name) []:a_gep_belso_halorol_lathato_neve Email Address []:root@cegnev.hu
openssl req -newkey rsa:1024 -keyout pop3s.key -out pop3s.csr (letrejon egy privat kulcs, bekeri a pop3s service adatait, es az ahhoz tartozo csrt)
Ugyanazokat adtam meg, mint a fentinel.
openssl ca -in pop3s.csr -out pop3s.crt (letrejon a pop3s.crt)
Erre viszont azt mondja, hogy Using configuration from /usr/lib/ssl/openssl.cnf Enter PEM pass phrase: Check that the request matches the signature Signature ok The Subjects Distinguished Name is as follows countryName :PRINTABLE:'HU' stateOrProvinceName :PRINTABLE:'Hungary' localityName :PRINTABLE:'Miskolc' organizationName :PRINTABLE:'Cegnev' organizationalUnitName:PRINTABLE:'Sysadmin' commonName :PRINTABLE:'a_gep_belso_halorol_lathato_neve' emailAddress :IA5STRING:'root@cegnev.hu' HU:invalid type in 'policy' configuration Es a letrejovo pop3s.crt fajl 0 byte meretu. Ebbol en azt a kovetkeztetest vontam le, hogy nem sikerult valami miatt alairnia a kulcsot. Mi lehetett a gond? Az emlitett fajlban (/usr/lib/ssl/openssl.cnf -> link a /etc/ssl/openssl.cnf fajlra) ugyanazok szerepelnek, mint amiket a kerdesekre valaszoltam: # For the CA policy [ policy_match ] countryName = HU stateOrProvinceName = Hungary organizationName = Cegnev organizationalUnitName = Sysadmin commonName = a_gep_belso_halorol_lathato_neve emailAddress = root@cegnev.hu
Namost, a demoCA/cacert.pem-et be kell importalni a windows-os gep kulcstaraba, mint trusted kulcs. Ezt nem tudom pontosan hogyan kell, de az
Ez akkor azt fogja jelenteni, hogy akinel ez a kulcs van, az meg fog bizni a szerverben, ugye? Tehat nem erdekes, ha valaki jogosulatlanul hozzajut ehhez a kulcshoz.
IE-ben a Kulcsok alatt biztosan megteheto. A Courier-IMAP-nak szuksege van a pop3s.crt-re, es a pop3s.key-re. Elkepzelheto, hogy mindkettot egy fileban keresi, akkor ossze kell masolni a -----BEGIN xxxxx ----- reszeket egy fileba, es azt megadni neki.
Ha jol ertettem, akkor te a newreq.pem fajlt nevezted el ketfelekeppen. Tehat nalam csak egy fajl van, es ezt kell megadni a Courier-nak.
Ezek utan elvileg Zorp-os pluggal, vagy kozvetlenul mennie kell a dolognak.
Nagyon orulnek, ha eljutnek eddig :)
A zorppal mit szeretnel csinalni? A zorpig es a zorptol is titkositottan menjen a forgalom? Ha igen, akkor ket dolgot kell beallitanod:
A vegso cel az ez lenne. Ha eljutok addig, hogy a sima pluggal mukodik, akkor kiprobalom. Akkor most leirom, hogy en hogyan generaltam a fajlokat. Elotte szerkesztettem egy picit ezt a CA.pl fajlt. Kiegeszitettem a kovetkezovel: # create a certificate system ("$REQ -new -x509 -nodes -keyout newreq.pem -out newreq.pem $DAYS"); $RET=$?; print "Certificate (and private key) is in newreq.pem\n" } elsif (/^-newreq$/) { # create a certificate request system ("$REQ -new -nodes -keyout newreq.pem -out newreq.pem $DAYS"); Mindket system-mel kezdodo sorba beirtam a -nodes kapcsolot. CA.pl -newca Itt ugyanazokat a valaszokat adtam, amiket fent mar leirtam. CA.pl -newreq (openssl req -new -keyout newreq.pem -out newreq.pem -days 365) A valaszok itt is ugyanazok. CA.pl -sign Sign the certificate? [y/n]:y 1 out of 1 certificate requests certified, commit? [y/n]y Write out database with 1 new entries Data Base Updated Signed certificate is in newcert.pem Szoval ugy nez ki, hogy itt sikeresen alairta. En a CA.pl fajlban leirtak alapjan generaltam a kulcsokat, meghagyva az alapertelmezett neveket. Miert nem mukodik az altalad leirt verzio, es jo-e az, ahogy en csinaltam a dolgokat? Megprobalom osszefoglalni a sajat szavaimmal: 1. Kell generalni egy CA publikus kulcsot, amit el kell juttatni a klienseknek (be kell importalniuk). 2. Ezutan kell generalni egy Certificate Signing Request fajlt, amit a CA-val kell aliratni. 3. Ha alairtak a Certificate Signing Request -et, akkor kapunk egy certificate -et. Es azt hiszem, hogy itt elvesztettem a fonalat :) Kiegeszitene valaki az osszefoglalot a sajat szavaival? A vegen a fajlneveket hozzapaszitanank az osszefoglalo megfelelo reszeihez. -- Udvozlettel Zsiga
On Thu, Aug 23, 2001 at 11:02:15AM +0200, Kosa Attila wrote:
On Wed, Aug 22, 2001 at 05:43:58PM +0200, Balazs Scheidler wrote:
hogy minden mukodjon? Ahogy en gondolom: a newcert.pem az igazolas, a newreq.pem a privat kulcsom, a cacert.pem a CA igazolasa. A newcert.pem az amit a courier spop3d-ssl-je hasznal a /usr/share/pop3d.pem fajl neven. A cacert.pem fajlt kell eljuttatni a winekhez, es azt kell beimportalniuk az
tisztazzuk a dolgokat:
cacert.pem - CA publikus kulcsa, ezt kell eljuttatni az outlooknak, hogy benne kell megbizni
Ez oke, ennek nem valtoztattad meg a nevet :)
newreq.pem - ez egy Certificate Signing Request (CSR), melyet kulcsgeneralas utan
Ezt nevezted te pop3s.key -nek. Meg pop3s.csr -nek is.
nem, ezt pop3s.csr-nek neveztem. A csr-ben nincs privat kulcs, a .key-ben van.
kuldd el az igenylo a CA-nak alairasra. newcert.pem - A CSR alairasa utan letrejovo certificate
Ezt nevezted te pop3s.crt -nek.
igy van.
Kell, hogy legyen meg valahol egy a newreq.pem-hez tartozo privat kulcs. En
A demoCA/private/ konyvtarban letrejott egy cakey.pem nevu fajl. De mihez kell ez, es mit kell vele csinalni?
az nem az. a cakey.pem a CA-d titkos kulcsa, amivel hitelesit.
a kovetkezo lepeseket javaslom (elso korben Zorp nelkul):
CA.pl-el letrehozunk egy CA-t:
/usr/lib/ssl/misc/CA.pl -newca (A CA-ra vonatkozo adatokat beirod stb., letrejon a demoCA alkonyvtar)
Megcsinaltam. Beirtam egy jelszot, aztan a kerdesekre a kovetkezo valaszokat adtam: Country Name (2 letter code) [AU]:HU State or Province Name (full name) [Some-State]:Hungary Locality Name (eg, city) []:Miskolc Organization Name (eg, company) [Internet Widgits Pty Ltd]:Cegnev Organizational Unit Name (eg, section) []:Sysadmin Common Name (eg, YOUR name) []:a_gep_belso_halorol_lathato_neve Email Address []:root@cegnev.hu
ez itt meg nem a szolgaltatas certificate-je, hanem a CA-de, tehat a Common Name az valami olyasmi legyen, hogy CEG CA.
openssl req -newkey rsa:1024 -keyout pop3s.key -out pop3s.csr (letrejon egy privat kulcs, bekeri a pop3s service adatait, es az ahhoz tartozo csrt)
Ugyanazokat adtam meg, mint a fentinel.
ez viszont a szolgaltatasra vonatkozo adatokat keri.
openssl ca -in pop3s.csr -out pop3s.crt (letrejon a pop3s.crt)
Erre viszont azt mondja, hogy Using configuration from /usr/lib/ssl/openssl.cnf Enter PEM pass phrase: Check that the request matches the signature Signature ok The Subjects Distinguished Name is as follows countryName :PRINTABLE:'HU' stateOrProvinceName :PRINTABLE:'Hungary' localityName :PRINTABLE:'Miskolc' organizationName :PRINTABLE:'Cegnev' organizationalUnitName:PRINTABLE:'Sysadmin' commonName :PRINTABLE:'a_gep_belso_halorol_lathato_neve' emailAddress :IA5STRING:'root@cegnev.hu' HU:invalid type in 'policy' configuration
Es a letrejovo pop3s.crt fajl 0 byte meretu. Ebbol en azt a kovetkeztetest vontam le, hogy nem sikerult valami miatt alairnia a kulcsot. Mi lehetett a gond?
a problema az, hogy az openssl altal hasznalt alairasi policynak nem felel meg a certificate keres. probald meg igy alairni: openssl ca -policy policy_anything -in pop3s.csr
Az emlitett fajlban (/usr/lib/ssl/openssl.cnf -> link a /etc/ssl/openssl.cnf fajlra) ugyanazok szerepelnek, mint amiket a kerdesekre valaszoltam:
# For the CA policy [ policy_match ] countryName = HU stateOrProvinceName = Hungary organizationName = Cegnev organizationalUnitName = Sysadmin commonName = a_gep_belso_halorol_lathato_neve emailAddress = root@cegnev.hu
Erre panaszkodik alairaskor az openssl. a policy-k megkoteseket tudnak tenni a certificate keresek formai kovetelmenyeire. Itt olyasmi allhat, hogy countryName = match stateOrProvinceName = match ... Itt a match azt jelenti, hogy a CSR adott mezojenek meg kell felelnie a CA adott mezojevel. Ezt szerintem ird vissza, vagy adjal meg olyan adatokat, mely neked megfelel. Az eredeti igy nez ki: [ policy_match ] countryName = match stateOrProvinceName = match organizationName = match organizationalUnitName = optional commonName = supplied emailAddress = optional A policy_anything alkalmazasa pedig a kovetkezo felteteleket koti: [ policy_anything ] countryName = optional stateOrProvinceName = optional localityName = optional organizationName = optional organizationalUnitName = optional commonName = supplied emailAddress = optional (magyarul minden a commonName-n kivul opcionalis)
Namost, a demoCA/cacert.pem-et be kell importalni a windows-os gep kulcstaraba, mint trusted kulcs. Ezt nem tudom pontosan hogyan kell, de az
Ez akkor azt fogja jelenteni, hogy akinel ez a kulcs van, az meg fog bizni a szerverben, ugye? Tehat nem erdekes, ha valaki jogosulatlanul hozzajut ehhez a kulcshoz.
igy van.
IE-ben a Kulcsok alatt biztosan megteheto. A Courier-IMAP-nak szuksege van a pop3s.crt-re, es a pop3s.key-re. Elkepzelheto, hogy mindkettot egy fileban keresi, akkor ossze kell masolni a -----BEGIN xxxxx ----- reszeket egy fileba, es azt megadni neki.
Ha jol ertettem, akkor te a newreq.pem fajlt nevezted el ketfelekeppen. Tehat nalam csak egy fajl van, es ezt kell megadni a Courier-nak.
mi van ebben a newreq.pem-ben? nem ketfelekeppen neveztem el, a CSR (newreq.pem) es a kulcs (ez nem volt neked korabban, en pop3s.key-nek neveztem) ket kulonbozo dolog, es teljesen masra tartozik.
Ezek utan elvileg Zorp-os pluggal, vagy kozvetlenul mennie kell a dolognak.
Nagyon orulnek, ha eljutnek eddig :)
A zorppal mit szeretnel csinalni? A zorpig es a zorptol is titkositottan menjen a forgalom? Ha igen, akkor ket dolgot kell beallitanod:
A vegso cel az ez lenne. Ha eljutok addig, hogy a sima pluggal mukodik, akkor kiprobalom.
Akkor most leirom, hogy en hogyan generaltam a fajlokat.
Elotte szerkesztettem egy picit ezt a CA.pl fajlt. Kiegeszitettem a kovetkezovel: # create a certificate system ("$REQ -new -x509 -nodes -keyout newreq.pem -out newreq.pem $DAYS"); $RET=$?; print "Certificate (and private key) is in newreq.pem\n" } elsif (/^-newreq$/) { # create a certificate request system ("$REQ -new -nodes -keyout newreq.pem -out newreq.pem $DAYS");
Mindket system-mel kezdodo sorba beirtam a -nodes kapcsolot.
CA.pl -newca Itt ugyanazokat a valaszokat adtam, amiket fent mar leirtam. CA.pl -newreq (openssl req -new -keyout newreq.pem -out newreq.pem -days 365)
ez osszefuzi a -keyout-ot es az -out-ot vagy felulirja egyik a masikat?
A valaszok itt is ugyanazok. CA.pl -sign Sign the certificate? [y/n]:y 1 out of 1 certificate requests certified, commit? [y/n]y Write out database with 1 new entries Data Base Updated Signed certificate is in newcert.pem
Szoval ugy nez ki, hogy itt sikeresen alairta.
En a CA.pl fajlban leirtak alapjan generaltam a kulcsokat, meghagyva az alapertelmezett neveket.
Miert nem mukodik az altalad leirt verzio, es jo-e az, ahogy en csinaltam a dolgokat?
Megprobalom osszefoglalni a sajat szavaimmal: 1. Kell generalni egy CA publikus kulcsot, amit el kell juttatni a klienseknek (be kell importalniuk).
2. Ezutan kell generalni egy Certificate Signing Request fajlt, amit a CA-val kell aliratni.
3. Ha alairtak a Certificate Signing Request -et, akkor kapunk egy certificate -et.
igy van. csak egy certificate-hez mindig tartozik privat kulcs is. egy szerver szolgaltatashoz mindig kell egy privat kulcs, es egy certificate. A certificate-t a CA adja a CSR alapjan. tehat a folyamatban szerepel: CA: privat kulcs (demoCA/private/cakey.pem), onalairt certificate (demoCA/cacert.pem) Szolgaltatas: privat kulcs (pop3s.key), certificate signing request (pop3s.csr), es certificate (pop3s.crt) ahogy nezem neked a pop3s.key+pop3s.csr egy fileba keletkezik newreq.pem-neven. Ez biztosan nem jo, hiszen a szolgaltatasodnak egy certificate kell es egy privat kulcs. -- Bazsi PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1
Sziasztok Nalam ez a config TransparentChainer-er mukodik, am ha ezt InbandChainer-el felrakom egy portra es a bongeszoben beallitom ezt https_proxy-nak, majd probalok megnezni egy https oldalt, a kovetkezot irja nekem a Zorp a logba: (https/service_https:0/pssl): calling connectServer() event, host=(null), Traceback (innermost last): File "/usr/share/zorp/pylib/Zorp/Proxy.py", line 182, in connectServer fd = self.session.chainer.connectServer(self.session, host, port) File "/usr/share/zorp/pylib/Zorp/Chainer.py", line 352, in connectServer ip = socket.gethostbyname(host) TypeError: string, None (https/service_https:0/pssl): cannot conect to server Valakinek otlete? Koszi d Ui.: Debian potato + Zorp 0.8.4 On 2001 Aug 22 at 10:21, Balazs Scheidler wrote:
class MyHttps(PsslProxy):
class EmbeddedHttp(HttpProxy): def config(self): HttpProxy.config(self) self.request_headers["User-Agent"] = \ [HTTP_CHANGE_VALUE, "Lynx/2.8.3rel.1 libwww-FM/2.14 SSL-MM/1.4.1 OpenSSL/69.69.4"]
def config(self): self.server_need_ssl = TRUE self.server_verify_type = SSL_VERIFY_REQUIRED_TRUSTED self.server_ca_directory = '/etc/zorp/ca.crt'
self.client_need_ssl = TRUE self.client_cert = '/etc/zorp/server.crt' self.client_key = '/etc/zorp/server.key' self.client_verify_type = 0 self.stack_proxy = self.EmbeddedHttp -- The end is important in all thing
On Sun, Aug 26, 2001 at 08:35:09PM +0200, Hegedus Ferenc wrote:
Sziasztok
Nalam ez a config TransparentChainer-er mukodik, am ha ezt InbandChainer-el felrakom egy portra es a bongeszoben beallitom ezt https_proxy-nak, majd probalok megnezni egy https oldalt, a kovetkezot irja nekem a Zorp a logba:
(https/service_https:0/pssl): calling connectServer() event, host=(null), Traceback (innermost last): File "/usr/share/zorp/pylib/Zorp/Proxy.py", line 182, in connectServer fd = self.session.chainer.connectServer(self.session, host, port) File "/usr/share/zorp/pylib/Zorp/Chainer.py", line 352, in connectServer ip = socket.gethostbyname(host) TypeError: string, None (https/service_https:0/pssl): cannot conect to server
Az InbandChainer csak akkor hasznalhato, ha a proxy megmondja neki, hogy hova kell kapcsolodni. Ez pl: nem transzparens Http, nem transzparens Ftp. A PsslProxy maga nem ismeri a Http protokollt, a Connect requestet nem o dolgozza fol. Ehhez legfolure egy nem transzparens HTTP kell, ami CONNECT eseten indit egy PSSL-t. (az elozo levelemben leirtam hogyan) -- Bazsi PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1
participants (3)
-
Balazs Scheidler
-
Hegedus Ferenc
-
Kosa Attila