ওপেনসেল এস_স্লায়েন্টের আউটপুট বোঝা

যখন থেকে আমাদের ইমেল সরবরাহকারী তাদের এসএসএল শংসাপত্র পরিবর্তন করেছে, মনোর উপর ভিত্তি করে একটি পপ 3 ক্লায়েন্ট তাদের নিরাপদ পিওপি সার্ভারের সাথে ইমেলগুলি ডাউনলোড করতে সংযোগ করতে অস্বীকার করেছে। অন্যান্য ক্লায়েন্টদের কোনও সমস্যা নেই; যেমন থান্ডারবার্ড এবং আউটলুক; তন্ন তন্ন সবচেয়ে SSL এর পরীক্ষক সাইট যা ব্যতীত বিজোড় পোর্ট পরীক্ষণের করতে সক্ষম করে এই এক । আমি সমস্যাটি চিহ্নিত করার প্রয়াসে উভয় সরবরাহকারীদের সাথে কাজ করছি, তবে শেষ পর্যন্ত উভয়ের সাথেই শেষ অবধি পৌঁছে গেছি, যেহেতু আমি এসএসএল শংসাপত্র সম্পর্কে যথেষ্ট পরিমাণে জানি না যে উভয়ই দোষটি কোথায় রয়েছে তা বোঝার জন্য গাইড করতে সক্ষম হতে পারে।

তদন্ত চলাকালীন, আমার দৃষ্টি আকর্ষণ করা হয়েছিল নিম্নলিখিত দুটি কমান্ডের আউটপুট-এর পার্থক্যের প্রতি (আমি পাঠযোগ্যতার জন্য আউটপুট থেকে শংসাপত্রগুলি সরিয়েছি):

echo "" | openssl s_client -showcerts -connect pop.gmail.com:995

সংযুক্ত (00000003)
গভীরতা = 2 / সি = মার্কিন / ও = জিও ট্রাস্ট ইনক। সিসি = জিও ট্রাস্ট গ্লোবাল সিএত্রুটি 
যাচাই করুন : নাম = 20: স্থানীয় ইস্যুকারী শংসাপত্রটি পেতে অক্ষম
ফেরত যাচাই করুন: 0
---
শংসাপত্র শৃঙ্খলা
 0 স: / সি = মার্কিন / এসটি = ক্যালিফোর্নিয়া / এল = মাউন্টেন ভিউ / ও = গুগল ইনক / সিএন = পপ.gmail.com
   i: / C = মার্কিন / O = গুগল ইনক / সিএন = গুগল ইন্টারনেট কর্তৃপক্ষ জি 2
----- শুরু করুন শংসাপত্র -----
----- শেষ সার্টিফিকেট -----
 1 টি: / সি = মার্কিন / ও = গুগল ইনক / সিএন = গুগল ইন্টারনেট কর্তৃপক্ষ জি 2
   i: / C = US / O = GeoTrust Inc./CN=GeoTrust Global CA
----- শুরু করুন শংসাপত্র -----
----- শেষ সার্টিফিকেট -----
 2 এস: / সি = ইউএস / ও = জিও ট্রাস্ট ইনক। সিসি = জিও ট্রাস্ট গ্লোবাল সিএ
   i: / C = US / O = Equifax / OU = ইক্যুফ্যাক্স নিরাপদ শংসাপত্র কর্তৃপক্ষ
----- শুরু করুন শংসাপত্র -----
----- শেষ সার্টিফিকেট -----
---
সার্ভার শংসাপত্র
সাবজেক্ট = / সি = ইউএস / এসটি = ক্যালিফোর্নিয়া / এল = মাউন্টেন ভিউ / ও = গুগল ইনক / সিএন = পপ.gmail.com
ইস্যুকারী = / সি = মার্কিন / ও = গুগল ইনক / সিএন = গুগল ইন্টারনেট কর্তৃপক্ষ জি 2
---
কোনও ক্লায়েন্টের শংসাপত্র সিএ নাম পাঠানো হয়নি
---
এসএসএল হ্যান্ডশেক 3236 বাইট পড়েছে এবং 435 বাইট লিখেছে
---
নতুন, টিএলএসভি 1 / এসএসএলভি 3, সিফার হলেন আরসি 4-এসএএচ
সার্ভারের সর্বজনীন কী 2048 বিট
নিরাপদ পুনর্চালনা আইএস সমর্থিত
সংক্ষেপণ: কোনও নয় ON
সম্প্রসারণ: কোনও নয়
Ssl-অধিবেশন:
    প্রোটোকল: টিএলএসভি 1
    সাইফার: আরসি 4-এসএএচ
    সেশন-আইডি: 745F84194498529B91B7D9194363CBBD23425446CF2BFF3BF5557E3C6606CA06
    সেশন-আইডি-CTX:
    মাস্টার-কী: DED1AE0A44609F9D6F54626F4370ED96436A561A59F64D66240A277066322DCD2CCB9A6D198C95F4D2B0C7E6781EECD2
    কী-যুক্তি: কিছুই নয়
    শুরুর সময়: 1397678434
    সময়সীমা: 300 (সেকেন্ড)
    রিটার্ন কোড যাচাই করুন: 20 (স্থানীয় ইস্যুকারী শংসাপত্র পেতে অক্ষম)
---
+ ঠিক আছে জিপিওপি 69.3.61.10 সি 13 এমবি 42148040pdj থেকে অনুরোধগুলির জন্য প্রস্তুত
সম্পন্ন

echo "" | openssl s_client -showcerts -connect secure.emailsrvr.com:995

সংযুক্ত (00000003)
গভীরতা = 2 / সি = মার্কিন / ও = জিও ট্রাস্ট ইনক। সিসি = জিও ট্রাস্ট গ্লোবাল সিএত্রুটি 
যাচাই করুন : নাম = 19: শংসাপত্র শৃঙ্খলে স্ব স্বাক্ষরিত শংসাপত্র
ফেরত যাচাই করুন: 0
---
শংসাপত্র শৃঙ্খলা
 0 এস: / সিরিয়ালনিম্বার = tG0GnsyAUkdX7DEo15ylNBjQJqAWZ / ডিডি / ওইউ = 4159320284 / ওইউ = দেখুন www.rapidssl.com/resources/cps (সি) 14 / ওইউ = ডোমেন নিয়ন্ত্রণ যাচাই করা হয়েছে - র‌্যাপিডএসএল (আর) /সিএন=secure.emailsrv
   i: / C = US / O = GeoTrust, Inc./CN=RapidSSL CA
----- শুরু করুন শংসাপত্র -----
----- শেষ সার্টিফিকেট -----
 1 এস: / সি = ইউএস / ও = জিওট্রাস্ট, ইনক। / সিএন= র্যাপিডএসএল সিএ
   i: / C = US / O = GeoTrust Inc./CN=GeoTrust Global CA
----- শুরু করুন শংসাপত্র -----
----- শেষ সার্টিফিকেট -----
 2 এস: / সি = ইউএস / ও = জিও ট্রাস্ট ইনক। সিসি = জিও ট্রাস্ট গ্লোবাল সিএ
   i: / C = US / O = GeoTrust Inc./CN=GeoTrust Global CA
----- শুরু করুন শংসাপত্র -----
----- শেষ সার্টিফিকেট -----
---
সার্ভার শংসাপত্র
সাবজেক্ট = / সিরিয়ালনিম্বার = tG0GnsyAUkdX7DEo15ylNBjQJqAWZ / ডিডি / ওইউ = 4159320284 / ওইউ = দেখুন www.rapidssl.com/resources/cps (সি) 14 / OU = ডোমেন কন্ট্রোল যাচাই করা হয়েছে - র‌্যাপিডএসএল (আর) / সিএন=secure.emailsrvr.com
ইস্যুকারী = / সি = ইউএস / ও = জিওট্রাস্ট, ইনক। / সিএন= র্যাপিডএসএল সিএ
---
কোনও ক্লায়েন্টের শংসাপত্র সিএ নাম পাঠানো হয়নি
---
এসএসএল হ্যান্ডশেক 3876 বাইট পড়েছে এবং 319 বাইট লিখেছেন
---
নতুন, টিএলএসভি 1 / এসএসএলভি 3, সিফার হ'ল ডিএইচই-আরএসএ-এএস 256-এসএএচএ
সার্ভারের সর্বজনীন কী 2048 বিট
নিরাপদ পুনর্চালনা আইএস সমর্থিত
সংক্ষেপণ: কোনও নয় ON
সম্প্রসারণ: কোনও নয়
Ssl-অধিবেশন:
    প্রোটোকল: টিএলএসভি 1
    সাইফার: ডিএইচই-আরএসএ-এএস 256-এসএএচ
    সেশন-আইডি: 3F4EE3992B46727BE2C7C3E76A9A6A8D64D66EE843CB1BB17A76AE2E030C7161
    সেশন-আইডি-CTX:
    মাস্টার-কী: 016209E50432EFE2359DB73AB527AF718152BFE6F88215A9CE40604E8FF2E2A3AC97A175F46DF737596866A8BC8E3F7F
    কী-যুক্তি: কিছুই নয়
    শুরুর সময়: 1397678467
    সময়সীমা: 300 (সেকেন্ড)
    রিটার্ন কোড যাচাই করুন: 19 (শংসাপত্র শৃঙ্খলে স্ব স্বাক্ষরিত শংসাপত্র)
---
সম্পন্ন

আমি এটি অর্থবোধক কিনা তা বোঝার চেষ্টা করছি, কারণ যখন -CApathবিকল্পটি সরবরাহ করা হয় তখন আদেশগুলি কোনও ত্রুটি তৈরি করে না:

openssl s_client -CApath /etc/ssl/certs -showcerts -connect secure.emailsrvr.com:995

CONNECTED(00000003)
depth=2 C = US, O = GeoTrust Inc., CN = GeoTrust Global CA
verify return:1
depth=1 C = US, O = "GeoTrust, Inc.", CN = RapidSSL CA
verify return:1
depth=0 serialNumber = tG0GnsyAUkdX7DEo15ylNBjQJqAWZ/dD, OU = 4159320284, OU = See www.rapidssl.com/resources/cps (c)14, OU = Domain Control Validated - RapidSSL(R), CN = secure.emailsrvr.com
verify return:1
...

openssl s_client -CApath /etc/ssl/certs -showcerts -connect pop.gmail.com:995

CONNECTED(00000003)
depth=3 C = US, O = Equifax, OU = Equifax Secure Certificate Authority
verify return:1
depth=2 C = US, O = GeoTrust Inc., CN = GeoTrust Global CA
verify return:1
depth=1 C = US, O = Google Inc, CN = Google Internet Authority G2
verify return:1
depth=0 C = US, ST = California, L = Mountain View, O = Google Inc, CN = pop.gmail.com
verify return:1
...

জিও ট্রাস্ট থেকে সরাসরি সিএফাইল সার্ট-CAfile ডাউনলোড করার পরে আমি বিকল্পটি সফলভাবে ব্যবহার করতে পারি।

তবুও, ফোগ ক্রিক মনে করে যে সমস্যাটি এই সার্টিটির সাথেই রয়েছে, কারণ তারা Trustসাফল্য ছাড়াই মনো- স্টোরের শংসাপত্রটি যুক্ত করার চেষ্টা করেছে। আমি তাদের সাথে একমত নই, তবে (উপরে উল্লিখিত হিসাবে) বেশিরভাগ এসএসএল চেকার হয় হয় 995 বন্দরটি পরীক্ষা করে না বা চেষ্টা করার সময় সফল হয় না, আমি এই পৃষ্ঠাটি খুঁজে পেয়েছি যা এসএসএল ত্রুটি 7 উত্পন্ন করে।

আমি কি আউটপুটটি সঠিকভাবে ব্যাখ্যা করে বুঝাতে চাইছি যে সির্টের সাথে কোনও ভুল নেই?

উত্তর (যেমনটি এই সুরক্ষা.এসই পোস্টে ব্যাখ্যা করা হয়েছে ) হ'ল যে দুটি জিও ট্রাস্ট গ্লোবাল সিএ শংসাপত্র আপনি শৃঙ্খলে দেখছেন তা আসলে একই শংসাপত্র নয় , একটি অন্যটির থেকে প্রাপ্ত।

সিএ ক্রস-স্বাক্ষরের কারণে!

যখন জিও ট্রাস্ট গ্লোবাল সিএ শংসাপত্রটি প্রথম তৈরি এবং স্বাক্ষরিত হয়েছিল, কোনও কম্পিউটার / ব্রাউজার / অ্যাপ্লিকেশন তাদের বিশ্বাসের স্টোর এ থাকত না।

না থাকার আরেকটি , GeoTrust রুট সিএ যা নিশ্চিতভাবে ঘটবে, ফলে সার্টিফিকেট (একটি "সেতু" শংসাপত্র হিসাবে উল্লেখ করা) এখন দ্বিতীয় সিএ দ্বারা যাচাই করা যেতে পারে সাইন ইন (পূর্ব বিদ্যমান খ্যাতি ও বন্টন সহ) সিএ GeoTrust রুট সিএ থাকার সার্টিফিকেট ছাড়া স্পষ্টভাবে ক্লায়েন্ট দ্বারা বিশ্বাস করা।

গুগল যখন জিও ট্রাস্ট রুট সিএ সার্টের ক্রস-স্বাক্ষরিত সংস্করণ উপস্থাপন করে তখন যে ক্লায়েন্টটি আসলটি বিশ্বাস করে না কেবল তারা জিও ট্রাস্টকে যাচাই করতে ইক্যুফ্যাক্স সিএ সার্টিটি ব্যবহার করতে পারে - সুতরাং ইক্যুফ্যাক্স এক ধরণের "লিগ্যাসি" ট্রাস্ট অ্যাঙ্কর হিসাবে কাজ করে।

যখন আমি এসএসএল চেক সক্ষম করেছিলাম তখন ফেচমেল নিয়ে একই সমস্যা ছিল pop.gmail.com।

আমি ইক্যুফ্যাক্স পেম ফাইল ডাউনলোড করেছি তবে এটি যেমনটি কাজ করে না, চালাতে হয়েছিল c_rehash ssl/certsযা হ্যাশ মান সহ একটি প্রতীকী লিঙ্ক তৈরি করেছিল, এটি তখন কাজ করেছে।

বিকল্পভাবে, হ্যাশ মান চালিয়েও জানা যেতে পারে ...

openssl x509 -in Equifax_Secure_Certificate_Authority.pem -fingerprint -subject -issuer -serial -hash -noout | sed  -n /^[0-9]/p

https://www.geotrust.com/resources/root_certificates/certificates/Equifax_Secure_Certificate_Authority.pem

শংসাপত্র তৈরি ও কনফিগার করার সময়, সঠিক পথ, শংসাপত্রের নাম ইত্যাদির জন্য openssl.cnfফাইলের পাশাপাশি (ডেবিয়ান - /etc/ssl/openssl.cnf) আপডেট করা উচিত , তারপরে আপনি কমান্ড চালাতে পারেন এবং -CApathবিকল্প ছাড়াই তাদের পরীক্ষা করতে পারেন ।

এবং সেই অনুসারে দূরবর্তী হোস্টগুলিও এই ক্ষেত্রে আপনার শংসাপত্রগুলি সঠিকভাবে পরীক্ষা করতে পারে।

এখানে উপযুক্ত openssl.cnfবিভাগটি রয়েছে:

####################################################################
[ ca ]

default_ca  = CA_default        # The default ca section

####################################################################
[ CA_default ]

dir     = /etc/ssl