[Resolu] Openssl et postfix : error no start line

Forum d'assistance et d'échange sur l'installation, la configuration, et l'utilisation des système Linux et BSD. Vous pouvez y poster vos questions concernant ces systèmes d'exploitation en faisant l'effort préalable de rechercher dans le forum, dans les manuels et les documentations que la réponse n'y figure pas.

Modérateur: modos Ixus

[Resolu] Openssl et postfix : error no start line

Messagepar darkukai » 15 Nov 2006 17:22

bonjour,
Je suis toujours sur mon serveur mail qui marche bien mais sur lequel j'essai de mettre un place un rien de sécurité grâce à TLS
ma config
postfix postfix-tls postfix-ldap courier-imap courier-imap-ssl openssl openldap

J'essaie de créer des certificats pour utilisé imap-ssl que je sign avec ma propre autorité de certifications mais cela ne semble pas marché :(

j'utilise un script qui est censé me faire tout çà
Code: Tout sélectionner
#!/bin/bash

rm -rf /usr/local/CA
mkdir /usr/local/CA
cd /usr/local/CA

echo -e " * CERTIFICATION AUTHORITY CERTIFICATE\n==================================================";
# Create Certificate Authority :
openssl genrsa -out cakey.pem 4096
chmod 600 /usr/local/CA/cakey.pem
openssl req -new -x509 -keyout cakey.pem -out cacert.pem -days 365

echo -e " * SERVICE CERTIFICATE\n==================================================";

echo -e "   * LDAP\n========================================";
openssl genrsa -out ldapkey.pem 2048
chmod 600 /usr/local/CA/ldapkey.pem
openssl req -new -key ldapkey.pem -out ldapcert.req
# Sign the key
openssl x509 -req -in ldapcert.req -out ldapcert.pem -CA cacert.pem -CAkey cakey.pem -days 365 -CAcreateserial
echo -e "   * VERIFICATION\n================================";
openssl verify -CAfile /usr/local/CA/cacert.pem /usr/local/CA/ldapcert.pem


echo -e "   * SMTP\n========================================";
openssl genrsa -out smtpkey.pem 2048 && chmod 600 /usr/local/CA/smtpkey.pem
openssl req -new -key smtpkey.pem -out smtpcert.req
# Sign the key
openssl x509 -req -in smtpcert.req -out smtpcert.pem -CA cacert.pem -CAkey cakey.pem -days 365 -CAcreateserial
echo -e "   * VERIFICATION\n================================";
openssl verify -CAfile /usr/local/CA/cacert.pem /usr/local/CA/smtpcert.pem


echo -e "   * COURIER-IMAP\n========================================";
openssl genrsa -out imapkey.pem 2048 && chmod 600 /usr/local/CA/imapkey.pem
openssl req -new -key imapkey.pem -out imapcert.req
# Sign the key
openssl x509 -req -in imapcert.req -out imapcert.pem -CA cacert.pem -CAkey cakey.pem -days 365 -CAcreateserial
echo -e "   * VERIFICATION\n================================";
openssl verify -CAfile /usr/local/CA/cacert.pem /usr/local/CA/imapcert.pem
# Courier-imap needs certificate and private key in the same file :
cat imapcert.pem imapkey.pem >> imap.pem


echo -e "   * APACHE\n========================================";
openssl genrsa -out apachekey.pem 2048 && chmod 600 /usr/local/CA/apachekey.pem
openssl req -new -key apachekey.pem -out apachecert.req
# Sign the key
openssl x509 -req -in apachecert.req -out apachecert.pem -CA cacert.pem -CAkey cakey.pem -days 365 -CAcreateserial
echo -e "   * VERIFICATION\n================================";
openssl verify -CAfile /usr/local/CA/cacert.pem /usr/local/CA/apachecert.pem

echo -e "   * APACHELDAP\n========================================";
openssl genrsa -out apacheldapkey.pem 2048 && chmod 600 /usr/local/CA/apacheldapkey.pem
openssl req -new -key apacheldapkey.pem -out apacheldapcert.req
# Sign the key
openssl x509 -req -in apacheldapcert.req -out apacheldapcert.pem -CA cacert.pem -CAkey cakey.pem -days 365 -CAcreateserial
echo -e "   * VERIFICATION\n================================";
openssl verify -CAfile /usr/local/CA/cacert.pem /usr/local/CA/apacheldapcert.pem

rm *.req


j'ai après chaque signature de certificat l'erreur
Code: Tout sélectionner
error 7 at 0 depth lookup : certificate signature failure


si je laisse courir et que je l'utilise quand même en cas d'utilisation dans le cadre d'une demande d'authentification j'ai coté client une erreur "TLS required" alors que tout est bien paramétré et coté serveur dans mon mail.info la fameuse :" imapd: courierTLS: /etc/ssl/imapcert.pem: error:0906D06C;PEM routines;PEM_read_bio;no start line

sur le site qui a créer ce script http://contrib.lynuxsolutions.com/doku.php?id=documentation:mailserver:mail_server_on_debian_gnu_linux-part2
ils ne font pas mention de cette erreur :( j'ai donc rechercher une autre méthode pour créer mon autorité et mes certificats et j'ai trouvé une autre méthode
openssl verify me trouve plus d'erreur dans mes certif mais dans mail.info j'ai toujours la même erreur.

Bouuuuhh :(


est ce que quelqu'un est déjà tombé sur ce cas là et pourrai me venir en aide
j'ai farfouillé toute l'aprem dans google et plein de forum et j'en suis a essayer de traduire des topic en hongrois tellement y a pas de solutions a ce problème :(

d'avance merci à la bonne âme[/url]
Dernière édition par darkukai le 24 Nov 2006 14:45, édité 1 fois au total.
Avatar de l’utilisateur
darkukai
Major
Major
 
Messages: 72
Inscrit le: 07 Oct 2003 00:00
Localisation: lyon

Messagepar darkukai » 16 Nov 2006 12:20

Alors voila j'ai pas mal avancé et je suis tombé sur un post explicant qu'en copiant les contenu du fichier key.pem à la fin du cert.pem cela marchait alors pas bête la bête j'ai tester et effectivement y a du mieux

me demandé surtout pas le pourquoi du comment :)

Bon du coup j'avais plus la même erreur: je me retrouvai avec un SSL3 error Wrong version

après quelques recherches j'ai vu que le client mail "evolution" de ma ubuntu avait un bug justement sur l'utilisation de TLS1 que je suis censé utilisé et que lui forcait en SSLv3 donc ah pas bon !

J'ai installé un petit Kmail sur ma ubuntu et là ohhh miracle çà marche :) :) :)

par contre l'authentification SMPT-saslauth ne fonctionne pas sur Kmail mais bien sur Evolution !!!

Grrrrr donc je repart en guerre :)

le message de Kmail :
Code: Tout sélectionner
darkukai@darkukai-laptop:~$ kmail: ERROR: : couldn't create slave : Unable to create io-slave:
klauncher said: Unknown protocol 'smtp'.
kmail:


bouuuh et j'ai rien dans mes logs sur mon serveur de mail

par contre je comfirme qu'evolution lui peut s'authentifier sans problème :(
Avatar de l’utilisateur
darkukai
Major
Major
 
Messages: 72
Inscrit le: 07 Oct 2003 00:00
Localisation: lyon

Messagepar Walkyrie_II » 17 Nov 2006 18:52

La création des certificats :
http://www.syntaxe-error.com/?section=prod#memo_openssl

Les param TLS de Postfix :
(A adapter suivant ton besion parce c'est un exemple de conf completement fermer avec TLS enforcer)

Code: Tout sélectionner
# ------- TLS TLS TLS TLS TLS TSL -------
# -------          DEBUT          ------

# LIMITE DU TEMPS D'ECHANGE SSL HANDSHAKE
smtpd_starttls_timeout = 300s
#
# JOURNALISATION TLS
smtp_tls_loglevel = 2
smtpd_tls_loglevel = 2
#
# AFFICHE DANS L'ENTETE <Received> L'ALGO ET LA TAILLE DE CLEF
smtpd_tls_received_header = no
#
# ANNONCE LE SUPPORT DE TLS COMME CLIENT ET COMME SERVEUR
smtp_use_tls = yes
smtpd_use_tls = yes
#
# FORCE LES CONNEXION AVEC TLS COMME CLIENT ET COMME SERVEUR
smtp_enforce_tls = yes
smtpd_enforce_tls = yes
#
# DEMANDE DE CERTIFICAT
# EN TEMPS QUE CLIENT LE (scert) Server Certificate
smtp_tls_ask_scert = yes
# EN TEMPS QUE SERVEUR LE (ccert) Client Certificate
smtpd_tls_ask_ccert = yes
#
# EXIGE LA PRESENTATION D'UN CERTIFICAT CLIENT
smtpd_tls_req_ccert = yes
#
# VERIFIER LA CHAINE DE CERTIFICATION (nb noeud)
smtpd_tls_ccert_verifydepth = 5
#
# FORCE LA COHERENCE ENTRE LE DN DU CERTIFICAT ET LE NOM DE DOMMAINE
smtp_tls_enforce_peername=yes
smtpd_tls_enforce_peername=yes
#
# LOCALISATION DES CERTIFICATS ET CLEF
smtpd_tls_cert_file=/etc/ssl/servercerts/servercert.pem
smtpd_tls_key_file=/etc/ssl/servercerts/serverkey.pem
smtpd_tls_CAfile=/etc/ssl/certs/YaST-CA.pem
smtp_tls_cert_file=/etc/ssl/servercerts/servercert.pem
smtp_tls_key_file=/etc/ssl/servercerts/serverkey.pem
smtp_tls_CAfile=/etc/ssl/certs/YaST-CA.pem
#
# DUREE DE VIE DU CACHE SESSION
# ==> EVITER LA GENERATION DES ELEMENTS SESSION A CHAQUE CONNEXION D'UN MEME CLIENT
# VALEUR DIMINUEE A 6min au lieu 1h
# AUGMENTER SI PB DE PERFORMANCE
smtpd_tls_session_cache_timeout = 360s
#
# FIXE LES ALGO
# MAIS LE CLIENT RESTE PRIORITAIRE ET PEUT UTILISER UN ALGO DEPRECIE !!!!!
smtpd_tls_cipherlis =    RSA-AES256-SHA,
         DHE-RSA-AES256-SHA
#
smtpd_startls_timesout = 300s
#
# CONTROLE DE LA SOURCE RANDOM
# bytes A 32 initialement pour du 128bits
# configure a 64 pour avoir assez d'aléa pour 256bits
# Pour plus d'info voir le README_TLS de postfix
tls_random_source = dev:/dev/urandom
tls_random_exchange_name = /etc/postfix/prng_exch
tls_random_bytes = 64
tls_random_reseed_period = 600s
tls_random_upd_period = 600s
tls_deamon_random_source = /dev/urandom
tls_daemon_random_bytes = 64
#
# -------           FIN           -------
# ------- TLS TLS TLS TLS TLS TLS -------
Walkyrie_II
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 179
Inscrit le: 04 Fév 2006 21:33
Localisation: Paris

Messagepar darkukai » 20 Nov 2006 11:42

Un grand merci pour ce lien efficace qui regroupe tous les usages basiques de openssl :)

Sinon pour la conf postfix la mienne ne va pas si loin mais je garde précieusement ton fichier de conf pour m'en inspirer :d

En fait les erreurs que j'avais était de ma faute :) comme de bien entendu je remplissais mal les champs a la création des certficats notamment commonName, et le challenge password.


Merci pour tout en tout cas
@+
Avatar de l’utilisateur
darkukai
Major
Major
 
Messages: 72
Inscrit le: 07 Oct 2003 00:00
Localisation: lyon


Retour vers Linux et BSD (forum généraliste)

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité