सवाल रिमोट एसएमटीपी सर्वर के टीएलएस प्रमाण पत्र का निरीक्षण कैसे करें?


हमारे पास एक Exchange 2007 सर्वर है जो Windows Server 2008 पर चल रहा है। हमारा क्लाइंट किसी अन्य विक्रेता का मेल सर्वर उपयोग करता है। उनकी सुरक्षा नीतियों के लिए हमें लागू टीएलएस का उपयोग करने की आवश्यकता होती है। यह हाल ही में ठीक काम कर रहा था।

अब, जब एक्सचेंज क्लाइंट के सर्वर पर मेल वितरित करने का प्रयास करता है, तो यह निम्न को लॉग करता है:

कनेक्टर 'डिफ़ॉल्ट बाहरी मेल' पर डोमेन-सुरक्षित डोमेन 'ourclient.com' के लिए एक सुरक्षित कनेक्शन स्थापित नहीं किया जा सका क्योंकि ourclient.com के लिए ट्रांसपोर्ट लेयर सिक्योरिटी (टीएलएस) प्रमाण पत्र की मान्यता स्थिति 'अविश्वसनीय रूट' के साथ विफल रही। समस्या का समाधान करने के लिए ourclient.com के व्यवस्थापक से संपर्क करें, या डोमेन-सुरक्षित सूची से डोमेन को हटा दें।

TLSSendDomainSecureList से ourclient.com को हटाने से संदेशों को अवसरवादी टीएलएस का सफलतापूर्वक उपयोग करने का कारण बनता है, लेकिन यह सर्वोत्तम रूप से एक अस्थायी समाधान है।

ग्राहक एक बेहद बड़ा, सुरक्षा-संवेदनशील अंतर्राष्ट्रीय निगम है। हमारे आईटी संपर्क में उनके टीएलएस प्रमाण पत्र में किसी भी बदलाव से अनजान होने का दावा है। मैंने उसे बार-बार पूछा है कि कृपया प्रमाण पत्र उत्पन्न करने वाले प्राधिकारी की पहचान करें ताकि मैं सत्यापन त्रुटि की समस्या निवारण कर सकूं, लेकिन अब तक वह उत्तर देने में असमर्थ रहा है। मुझे पता है कि, हमारे ग्राहक अपने वैध टीएलएस प्रमाण पत्र को एक घर के प्रमाणपत्र प्रमाण पत्र से बदल सकते थे।

क्या किसी को दूरस्थ SMTP सर्वर के TLS प्रमाण पत्र का मैन्युअल रूप से निरीक्षण करने का कोई तरीका पता है, क्योंकि कोई वेब ब्राउज़र में रिमोट HTTPS सर्वर के प्रमाणपत्र के लिए कर सकता है? प्रमाण पत्र जारी करने और हमारे एक्सचेंज सर्वर पर विश्वसनीय रूट प्रमाणपत्रों की सूची के विरुद्ध उस जानकारी की तुलना करने के लिए यह बहुत उपयोगी हो सकता है।


48
2018-04-12 15:18


मूल




जवाब:


आप ओपनएसएसएल का उपयोग कर सकते हैं। अगर आपको प्रमाण पत्र की जांच करनी है STARTTLS, तो बस करो

openssl s_client -connect mail.example.com:25 -starttls smtp

या एक मानक सुरक्षित smtp बंदरगाह के लिए:

openssl s_client -connect mail.example.com:465

84



सुंदर। OpenSSL में समान सत्यापन त्रुटियां, लेकिन बहुत अधिक जानकारी। अब हम जानते हैं कि समस्या हमारे मेल सर्वर तक ही सीमित नहीं है। - Skyhawk
@ मील: यदि आप विंडोज़ पर यह कोशिश कर रहे हैं, तो इसे मत भूलना openssl विंडोज प्रमाणपत्र स्टोर का उपयोग करने का समर्थन नहीं करता है, इसलिए यह हमेशा सत्यापन विफल हो जाएगा। - grawity
मैं सर्वर प्रमाणपत्र समाप्ति दिनांक कैसे देख सकता हूं? - nimrodm
@nimrodm: "openssl x509 -text" को प्रमाणित पाइप - Dan Andreatta
@DanAndreatta @nimrodm या इसे पाइप करें openssl x509 -noout -dates छोटे उत्पादन के लिए। - Skippy le Grand Gourou


मुझे पता है कि यह एक पुराना सवाल है, लेकिन आज भी उनके ईमेल सर्वर पर एसएसएल प्रमाणपत्र वैधता की पुष्टि करने के इच्छुक प्रशासकों के लिए एक प्रासंगिक सवाल है।

आप जा सकते हैं https://www.checktls.com और मुफ्त में परीक्षण चलाएं।


8



यह मेरे लिए काम करता था, कमांड लाइन से अधिक पठनीय था - marijnz0r
मुझे साइट पर परीक्षण खोजने में परेशानी हो रही है। कोई संकेतक? - Zero3
काले रंग में 'चेकटीएलएस' बटन के साथ 'इंटरनेट सुरक्षित ईमेल आसान है' अनुभाग में एक इनपुट बॉक्स है। - Ketan Patel


यदि आपके पास ओपनएसएसएल नहीं है, तो आप इस पायथन स्निपेट का भी उपयोग कर सकते हैं:

import smtplib
import ssl

connection = smtplib.SMTP() 
connection.connect('[hostname].')
connection.starttls()
print ssl.DER_cert_to_PEM_cert(connection.sock.getpeercert(binary_form=True))

जहां [होस्टनाम] सर्वर है।

स्रोत: https://support.google.com/a/answer/6180220

यह आपके लिए ओपनएसएसएल लाइब्रेरी खींचता है, जो थोड़ा आसान स्थापित करता है।


1



वहाँ से पायथन एसएसएल मॉड्यूल दस्तावेज: "यह मॉड्यूल ओपनएसएसएल लाइब्रेरी का उपयोग करता है।" तो यह जवाब क्या हो रहा है के मामले में थोड़ा भ्रामक है। - fbmd
@fbmd प्रतिक्रिया के लिए धन्यवाद। क्या यह बेहतर संपादन है (अंतिम वाक्य देखें)? - browly
हाँ, यह बेहतर है। - fbmd