Перейти к содержимому

(499) 940-40-00 подключение
(499) 940-00-00 служба поддержки

Проблема с сертификатом


Сообщений в теме: 24

#21 landadan

    Прохожий


  • Пользователи
  • 155 сообщений
0
Offline

Отправлено 24 июня 2008 - 19:34

Просмотр сообщенияScorpey (Jun 24 2008, 18:16) писал:

какое Вы имеете отношение к обсуждаемому почтовому серверу?


У меня есть опыт работы с CGPro.


Но в принципе все есть и в открытой документации




Псевдонимы Домена - это, собственно, вот это http://www.communigate.com/CommuniGatePro/...ns.html#Aliases

Одна строка в настройках. Все остальное - общее со всем доменом.




Про ключи http://www.communigate.com/CommuniGatePro/...html#DomainKeys

Каждый Домен CommuniGate Pro имеет свои собственные PKI Установки. Они включают в себя Закрытый Ключ, связанный с Доменом и Сертификаты, содержащие Открытый Ключ.

Один ключ на домен.



Закрытый ключ.

http://www.communigate.com/CommuniGatePro/...PKI.html#KeyGen

После этого - сертификат

http://www.communigate.com/CommuniGatePro/...KI.html#CertGen
http://www.communigate.com/CommuniGatePro/...KI.html#Install
Ceterum censeo Carthaginem delendam esse!
© Marcus Porcius Cato Censorius Major

#22 Scorpey


  • Гости
Offline

Отправлено 26 июня 2008 - 19:30

Просмотр сообщенияlandadan (Jun 24 2008, 20:34) писал:

У меня есть опыт работы с CGPro.


Но в принципе все есть и в открытой документации




Псевдонимы Домена - это, собственно, вот это http://www.communigate.com/CommuniGatePro/...ns.html#Aliases

Одна строка в настройках. Все остальное - общее со всем доменом.

Ошибка "The page you are trying to locate cannot be found or is not available"



Цитата

Про ключи http://www.communigate.com/CommuniGatePro/...html#DomainKeys

Каждый Домен CommuniGate Pro имеет свои собственные PKI Установки. Они включают в себя Закрытый Ключ, связанный с Доменом и Сертификаты, содержащие Открытый Ключ.

Один ключ на домен.

т.е. один ключ и сертификат для akado.ru и один ключ и один сертификат для comtv.ru
Эти ключи и сертификаты независимы.
Верно?


Цитата


т.е. Если есть Pri Domen akado.ru у него сертификат на akado.ru
Есть у этого ж самого сервера Sec Domen comtv.ru - это домен может не иметь сертификата?

Как Тогда нам разценить следующие Ваши слова?

"
Разумеется. comtv.ru , являясь полным псевдонимом для почтового домена akado.ru , не может иметь отдельный сертификат. Для любого набора "домен + все его псевдонимы" сертификат один на весь этот набор.
"


а потом выясняется...

Каждый Домен CommuniGate Pro имеет свои собственные PKI Установки. Они включают в себя Закрытый Ключ, связанный с Доменом и Сертификаты, содержащие Открытый Ключ.

Один ключ на домен.

Сообщение отредактировал Scorpey: 26 июня 2008 - 19:43


#23 yoyo


  • Гости
Offline

Отправлено 26 июня 2008 - 20:04

Просмотр сообщенияScorpey (Jun 26 2008, 20:30) писал:

Ошибка "The page you are trying to locate cannot be found or is not available"
сцылко рабочая. но можно и здесь посмотреть http://mail.akado.ru...ns.html#Aliases

меня вот больше интересует почему на https://mail.akado.ru используется (бесплатный) само-подписанный серт, вместо (платного) заверенного подписью root CA?

типо чтобы получить почту по ССЛ я каждый раз должен аксептить неизвестно какой серт, где-бы я не был... видимо денег хватило только на серт для https://office.akado.ru

Сообщение отредактировал yoyo: 26 июня 2008 - 20:06


#24 landadan

    Прохожий


  • Пользователи
  • 155 сообщений
0
Offline

Отправлено 26 июня 2008 - 20:47

Просмотр сообщенияScorpey (Jun 26 2008, 20:30) писал:

Ошибка "The page you are trying to locate cannot be found or is not available"


"Только у Вас!" ©

http://www.communigate.com/CommuniGatePro/...ns.html#Aliases
www.communigate.com/CommuniGatePro/russian/Domains.html#Aliases

Все открывается.

Просмотр сообщенияScorpey (Jun 26 2008, 20:30) писал:

т.е. один ключ и сертификат для akado.ru и один ключ и один сертификат для comtv.ru
Эти ключи и сертификаты независимы.
Верно?

Нет, неверно. См. выше.

akado.ru и все его псевдонимы - mail.akado.ru comtv.ru mail.comtv.ru - и т.п. - 1 ключ и 1 сертификат. Один и тот же.

А если создать там еще домен, скажем, akado-rulez.ru и навешать на него псевдонимов mail.akado-rulez.ru another-alias.akado-megarulez.ru mail.one-more-alias.akado-gigarulez.ru и т.п. - для них, чтобы включить всякий SSL и иже с ним, придется сгенерить другой ключ и сертификат.
Но ничего общего (кроме сервера) этот домен с akado.ru иметь уже не будет.

Просмотр сообщенияScorpey (Jun 26 2008, 20:30) писал:

т.е. Если есть Pri Domen akado.ru у него сертификат на akado.ru
Есть у этого ж самого сервера Sec Domen comtv.ru - это домен может не иметь сертификата?

Вы путаетесь в терминологии. akado.ru и есть secondary domain в терминологии CGPro. Primary domain - это относится к физическому серверу, он же main domain он же главный домен. А если система представляет собой кластер, то у каждого из серверов в кластере главный домен - свой. И кластерную лицензию CommuniGate Systems выпишет на *.domainname.tld , а главные домены серверов должны будут удовлетворять этой маске. Иначе - не взлетит.

А comtv.ru в этой терминологии это вообще не домен, это alias (псевдоним) домена akado.ru - один из псевдонимов. Отдельного ключа и сертификата иметь не может. Не иметь никакого ровно так же не может. Откройте https://mail.comtv.ru и посмотрите свойства отдаваемого сертификата.

Просмотр сообщенияScorpey (Jun 26 2008, 20:30) писал:

Как Тогда нам разценить следующие Ваши слова?

"
Разумеется. comtv.ru , являясь полным псевдонимом для почтового домена akado.ru , не может иметь отдельный сертификат. Для любого набора "домен + все его псевдонимы" сертификат один на весь этот набор.
"

Ровно так, как написано.

Просмотр сообщенияScorpey (Jun 26 2008, 20:30) писал:

а потом выясняется...

Каждый Домен CommuniGate Pro имеет свои собственные PKI Установки. Они включают в себя Закрытый Ключ, связанный с Доменом и Сертификаты, содержащие Открытый Ключ.

Один ключ на домен.

Так и есть. Это цитата из документации, собственно.


Я не умею читать мысли через монитор, но предполагаю, что Вы запутались немного в терминах и понятиях. Вы считаете, что comtv.ru это такой же домен, как и akado.ru . А это не так. comtv.ru это не домен, а дополнительное имя другого домена.

Благодаря ему Акадо смогло сделать очень важное - невзирая на ребрендинг, письма, адресуемые на good-old-abonent@comtv.ru будут продолжать приходить в тот же самый аккаунт, что и на новое имя good-old-abonent@akado.ru - и good-old-abonent не пострадает. А если Акадо ещё раз переименуют и прикажут "теперь все должно называться вот эдак" - все равно будет возможность не обрывать людям многолетние контакты в переписке. Что-то сделают псевдонимом к чему-то - и все дела.

Тут народ, кстати, очень боялся, что всех корреспондентов - деловых партнеров, знакомых, банки и т.п. - придется извещать, что адрес изменился. Не придется. Вероятнее всего - никогда не придется. Почему техподдержка Акадо не смогла это внятно объяснить человеку - неясно.

Просмотр сообщенияScorpey (Jun 26 2008, 20:30) писал:

домен akado.ru у него сертификат на akado.ru

Вы, кстати, не совсем внимательны. Сертификат выписан на чуть другое имя. Посмотрите сами в свойствах сертификата.

Просмотр сообщенияyoyo (Jun 26 2008, 21:04) писал:

меня вот больше интересует почему на https://mail.akado.ru используется (бесплатный) само-подписанный серт, вместо (платного) заверенного подписью root CA?

типо чтобы получить почту по ССЛ я каждый раз должен аксептить неизвестно какой серт, где-бы я не был... видимо денег хватило только на серт для https://office.akado.ru
Пока у них не дошли руки до того, чтобы разобраться и с этим сертификатом, можно установить себе этот - не придется каждый раз аксептить.
Ceterum censeo Carthaginem delendam esse!
© Marcus Porcius Cato Censorius Major

#25 yoyo


  • Гости
Offline

Отправлено 27 июня 2008 - 00:09

Просмотр сообщенияlandadan (Jun 26 2008, 21:47) писал:

Пока у них не дошли руки до того, чтобы разобраться и с этим сертификатом, можно установить себе этот - не придется каждый раз аксептить.
к сожалению из вашего поста не вполне очевидно о каком именно серте идет речь. (но видимо все-таки не об этом: Issued to CN = office.akado.ru)

да у них лет 6 (шесть!), если не больше, именно до этого сертификата[1] руки никак не могут дойти. из чего напрашивается весьма очевидный, как я полагаю, вывод. (про EV я вообще молчу)

ну, на свое устройство, будучи внутри сети Акадо, я, положим, еще установлю само-подписанный серт. но где гарантия, что он не будет eavsdropped by a middle-man (он же никем не заверен, кроме загадочного СА "AKADO-STOLITSA"), когда я снаружи?

[1]

Цитата

<mail.akado.ru>
The connection to mail.akado.ru is not secure, and should not be used to exchange sensitive information.

Warning:[indent]The certificate is not signed by a trusted authority.[/indent]






Количество пользователей, читающих эту тему: 1

0 пользователей, 1 гостей, 0 анонимных