» »

Samopodpisan certifikat na Outlook Office 365/Win10

Samopodpisan certifikat na Outlook Office 365/Win10

poweroff ::

Torej, kot je razvdno iz naslova v Outlooku (Office 365) na Win10 uporabljam samopodpisan certifikat. Ko zaženem Outlook, mi javi, da poštni strežnik uporablja samopodpisano potrdilo, ki ga ni mogoče preveriti. Če kliknem na Ogled potrdila in nato Namesti, imam opcijo, da ga namestim za Trenutnega uporabnika ali Lokalni računalnik (v slednjem primeru mora admin vnesti geslo). Storil sem že oboje, ampak naslednjič, ko zaženem Outlook, je problem isti - spet sprašuje glede certifikata.

Kakšna ideja kako to rešit?
sudo poweroff

mm&r ::

Certifikat mora bit trusted, torej moraš strežniški certifikat namestit v Trusted Root Certification Authorities Certificate Store.

poweroff ::

Huh, kakšna ideja kako je to prevedeno v slovenščino? Ker med "Zaupanja vredni overitelji korenskih potrdil" to potrdilo že imam, pa ne dela...
sudo poweroff

b3D_950 ::

Probaj tole:

https://www.slipstick.com/outlook/secur...

What does this do? Basically your mail server name needs to match the name on the certificate or Outlook will complain.
Zdaj ko je mir, jemo samo krompir.

poweroff ::

Ne javi mi Target Principal Name is incorrec. In ime serverja se ujema s tistim na certu. Plus, NI expired.
sudo poweroff

b3D_950 ::

Hm, edino če bil na mail serverju dobil ven certifikat v kakšn drugi obliki in ga potem importiraš: start>run>iexplore>options>content>potrdila>import

https://blogs.technet.microsoft.com/sbs...

https://specopssoft.com/support-docs/sp...
Zdaj ko je mir, jemo samo krompir.

poweroff ::

Na serverju sem dobil ven isti certifikat kot ga dobim z zgoraj opisanim postopkom. In sem ga enako uvozil v Windowse, pa je isto... Postopek prktično enak kot tisti iz linka za Windows Vista.

Še kakšna ideja?

Ne morem verjeti, da za tako trivialen problem ni neke pametne rešitve.
sudo poweroff

llc ::

Kaj pa če bi naredil ločen CA certifikat in posebej certifikat za (mail?) strežnik?
Se da mogoče kje videt certifikat, ki ti dela probleme.

Uporabljam lasten/ločen CA in mail/web server certifikat in nikoli nobenih problemov ne na win, ne na linuxu, ne na androidu...

Invictus ::

Vsak, tudi samopodpisani certifikat rabi svoj Root CA za potrditev istovetnosti.

Kje ga imaš ti?
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

Zgodovina sprememb…

  • spremenil: Invictus ()

llc ::

Invictus je izjavil:

Vsak, tudi samopodpisani certifikat rabi svoj Root CA za potrditev istovetnosti.

O čem ti to? Root CA je itak samopodpisan (vprašanje pa je če ima "Basic constraint" isCA postavljen, kar v bistvu "naredi" običajen samopodpisan certifikat CA certifikat)

Mimogrede, Matthai, kako imaš na certifikatu nastavljene "Key Usage" in/ali "Extended Key usage", mogoče je pomembno,
prav tako, kako imaš nastavljen "Basic constraints", imaš isCA nastavljen?

Res bi bilo dobro videti izpis "openssl x509 -in samopodpisan.pem -text"

Miha 333 ::

Danes se dobijo že tudi čisto pravi certifikati zastonj. Ne vem, zakaj bi se mučil s self-signed.

llc ::

Miha 333 je izjavil:

Danes se dobijo že tudi čisto pravi certifikati zastonj. Ne vem, zakaj bi se mučil s self-signed.

Mogoče zato, ker A) zaupaš samo sebi, B) rabiš client certifikate, C) želiš uporabiti kakšno manj pogosto zgoščevalno funkcijo, asimetrični algoritem ali pa kakšen neobičajen DN ali X509 razširitev, D) se želiš kaj o PKI naučiti...

Zgodovina sprememb…

  • spremenilo: llc ()

Miha 333 ::

llc je izjavil:

Miha 333 je izjavil:

Danes se dobijo že tudi čisto pravi certifikati zastonj. Ne vem, zakaj bi se mučil s self-signed.

Mogoče zato, ker A) zaupaš samo sebi, B) rabiš client certifikate, C) želiš uporabiti kakšno manj pogosto zgoščevalno funkcijo, asimetrični algoritem ali pa kakšen neobičajen DN ali X509 razširitev, D) se želiš kaj o PKI naučiti...

A) Namen certifikatov je, da ti tudi drugi zaupajo (na podlagi zunanje avtoritete), ne samo sam sebi.
B) Govora je bilo o strežniškem certifikatu.
C) Žal to kliče po težavah in nekompatibilnosti, bolje je uporabiti uveljavljene metode in rešitve.

Sicer pa kakor kdo želi. Dal sem samo idejo, ne bom se prerekal.

Invictus ::

Self signed certificati so lahko čisto fajn znotraj nekega zaprtega omrežja, da lahko med strežniki vzpostaviš varne povezave. Potrebne včasih zaradi certifikacij.

Ampak normalno velika firma bi morala imeti svoj lokalen CA, za zunanje storitve pa tudi zunanji CA.
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

poweroff :: 

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 90...821 (0x15...35)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=US, ST=N/A, L=N/A, O=Zimbra Collaboration Server, OU=Zimbra Collaboration Server, CN=*****
        Validity
            Not Before: Apr 12 12:17:19 2018 GMT
            Not After : Apr  9 12:17:19 2028 GMT
        Subject: C=US, ST=N/A, O=Zimbra Collaboration Server, OU=Zimbra Collaboration Server, CN=*****
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:e1:e1:5c:80:f4:70:4a:58:c8:24:4c:a0:a5:c7:
 
                    36:93:45:4e:c9:14:22:5d:98:41:fc:74:2a:73:fc:
                    90:93
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Basic Constraints: 
                CA:FALSE
            X509v3 Key Usage: 
                Digital Signature, Non Repudiation, Key Encipherment
    Signature Algorithm: sha256WithRSAEncryption
         19:d9:a2:99:16:8e:fe:ea:52:1c:88:d0:c2:72:92:6c:4c:c9:

         e5:c0:8d:5f:1e:25:39:26:80:39:fe:5b:48:13:40:2c:a3:74:
         c1:cb
-----BEGIN CERTIFICATE-----


-----END CERTIFICATE-----


Drugače se o ta strežnik tako ali tako v kratkem ugasnil, zato se ne mislim zafrkavat z Let's Encrypt. Me pa zanima kako rešit ta problem. Madona, saj na Windowsih to ne bi smelo biti tako težko...
sudo poweroff

Zgodovina sprememb…

  • spremenilo: poweroff ()

Malajlo ::

Self signed certifikati čisto v redu delajo, zatakne se pa pri imenih hostov. V CN zlistaš vse živo, kar klienti morda rabijo. Zunanje, notranje hoste, you name it.
Default certifikate kakšnega Exchangea takoj zgazim z novim, ki ima tako notranje kot zunanje hoste vpisane.
Nisem pa še ps skripte spisal, ker mi ctrl+h ful dobr dela v text editorju ;)

poweroff ::

Hmm, zdajle v Linuxu skušam narediti Microsoft račun, vezan na moj služben mail. V Cromu pridem do koraka, kjer ti na mail pošljejo kodo, ki jo je nato treba vpisat. Kliknem Naprej... se ne zgodi nič.

OK, grem v Firefox.

Isto.

Mogoče je problem, da to delam iz Linux (čeprav sem MS račun že prej ustvarjal iz Linuxa)?

Grem v Windows 10, Edge.

Isto. Brez obvestila o kakršnikoli napaki.

Mislim... seriously?

OK, poskusim še enkrat od začetka... "There's a temporary problem with the service. Please try again. If you continue to get this message, try again later."

Se pravi, klasika.
sudo poweroff

Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Davčne blagajne (strani: 1 2 3 424 25 26 27 )

Oddelek: Programiranje		1344331907 (71910) Macketina
»

Kreiranje self signed certifikatov

Oddelek: Informacijska varnost		162107 (1592) Mercier
»

Self-signed cert na iPhonu?

Oddelek: Informacijska varnost		388249 (6342) poweroff
»

Prevzem digitalnega potrdila KDP - težave

Oddelek: Omrežja in internet		64580 (4477) fosil
»

SSL certifikat

Oddelek: Programska oprema		141219 (1085) 64202

Več podobnih tem