SSL認証過期與Gmail無法代收信件 (新增續期處理辦法)

續期方法請參考 (http://blog.slpo.net/?p=1074)

20121213清晨時 Gmail開始無法代收genebook的信件 錯誤訊息指出是認証過期

改用自簽的SSL CA後 仍然無效  因Gmail不接受自簽的憑証

後來找到一家提供免費CA憑証服務的公司 

並參考 Mowd’s的教學 申請了一組免費憑証

先成功的解決了 連genebook webmail上 https失效的警告 所以証是此組簽証是有效的

**注: 本方式設置在ssl.conf上的設定 key file是解密的 如果使用在dovecot.conf的key file是加密的 兩者不可以混用 以免解了代收 網站卻掛了

再來參考 類似這篇的方式  來設置  /etc/dovecot.conf

  ssl_cert_file = /etc/pki/tls/certs/[myssl].crt
  ssl_key_file = /etc/pki/tls/private/[myssl].key
  ssl_ca_file = /etc/pki/tls/certs/ca.pem

若使用的key是解密過的 就可以了

若發現網頁正常 但反而連登入squirrelMail都失敗 (所以雪上加霜的是連其他收信軟體也不能收了)

很可能在處理過程中 用到的 [myssl].key 是加密的 所以dovecot無法直接使用

解決方法除了用前面的方法解密key

  cd /etc/pki/tls/private/
  openssl rsa -in ssl.key -out ssl.key

另一個方式是在dovecot.conf加入

  ssl_key_password = [mysslpassword]

設置完成後執行

  service dovecot restart

squirrelMail就能正常登入了

原先ok了 但後來卻發現一段時間後httpd啟動失敗 網站掛點

重新改了設定 把key file 改用解過密的 同時注消掉dovecot.conf上的ssl_key_password設定

就能讓apache與dovecot都可成功工作了

原以為這樣就大功告成 沒想到用gmail收信時它 卻給了一個

SSL error: unable to verify the first certificate

的錯誤

這部份就一直無法解決也找不到解決QA

直到在 startSSL的FTP 上看到 申請時下載到的 ca.pem是07年的

又看到在其他討論裡的wget 抓的 ca-bundle.pem 是 2012年底的

因此下載ca-bundle.pem後 更改/etc/dovecot.conf 為

  ssl_cert_file = /etc/pki/tls/certs/[myssl].crt
  ssl_key_file = /etc/pki/tls/private/[myssl].key
  #ssl_key_password = [mysslpassword]
  ssl_ca_file = /etc/pki/tls/certs/ca.bundle.pem

後就解決了gmail無法代收genebook的問題了

重點整理:

  1. key file 要用解密過的 以免restart httpd時會要求密碼
  2. 由於key file 用明文 所以dovecot.conf的設定不需設置ssl_key_password
  3. 根節點憑証ca.pem要使用最新未過期的
Advertisements

Windows 7 網芳分享的問題

今天在Windows server 2003建好了分享資料夾

但部份windows 7 都無法成功連上

看得到server 但用帳號密碼會顯示無法連接

在網路上查到解決方法

修改登錄檔

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Create a DWORD key under Lsa and set:

Name: LmCompatibilityLevel
Value: 1

修改完成後  重新開機

出處 :  來源