aws ec2 vesta panel mail error pop3 port 993 TLS handshake failure. Invalid server certificate. The certificate or certificate chain is based on an untrusted root
Компьютеры / Программы / Операционные системы
Тэги: amazon aws AWC EC2 tls EC2 настройка и устранения проблем vestacp
Тэги: amazon aws AWC EC2 tls EC2 настройка и устранения проблем vestacp
📅6-08-2020 👁7 504
Использую сервис Амазон AWS EC2
установлен instance с панелью VestaCP
Использую почтовый клиент The Bat!
При попытке получить почту по протоколу POP3 Port 995 TLS все время ошибка соединения:
TLS handshake failure. Invalid server certificate. The certificate or certificate chain is based on an untrusted root
Как исправить?
Порт 110 почту получает исправно.
установлен instance с панелью VestaCP
Использую почтовый клиент The Bat!
При попытке получить почту по протоколу POP3 Port 995 TLS все время ошибка соединения:
TLS handshake failure. Invalid server certificate. The certificate or certificate chain is based on an untrusted root
Как исправить?
Порт 110 почту получает исправно.
Такая ошибка возникает потому что Веста панель устанавливает свой сертификат Self Signed certificate на почтовый клиент, а нам нужно установить LetsEncrypt SSL.
Сделайте так:
в дирректории /home/admin/conf/web/ есть файл exim4.conf.template
там должно быть
SSLCertificateFile /home/admin/conf/web/ssl.HOSTNAME.crt
SSLCertificateKeyFile /home/admin/conf/web/ssl.HOSTNAME.key
SSLCertificateChainFile /home/admin/conf/web/ssl.HOSTNAME.ca
Запомните ваши HOSTAME
создаем bash скрипт через putty соединение:
mkdir /usr/serverok/
если ошибка, всегда используйте SUDO перед командами
Открываем в редакторе создание нового файла
vi /usr/serverok/ssl-renew-hostname
(если ошибка не забывайте про sudo в начале)
Вставьте следующий код, не забыв заменить значение HOSTNAME на ваш домен:
Чтобы записать файл команда esc + :w, а потом чтобы выйти :qa!
Делаем файл исполняемым:
chmod 755 /usr/serverok/ssl-renew-hostname
Запускаем этот файл:
/usr/serverok/ssl-renew-hostname
Теперь SSL сертификат установлен для mail server и VestaCP.
А теперь нужно сделать чтобы он самообновлялся.
Создаем крон:
crontab -e
Добавляем в конец:
@weekly /usr/serverok/ssl-renew-hostname > /dev/null 2>&1
Все, теперь можете принимать почту по защищенному соединению TLS.
Тестировалось на The Bat версии 9.18
Чтобы проверить ваш сертификат используйте сайт:
https://www.sslshopper.com/ssl-checker.html#hostname=YOUR_DOMAIN.net:995
Если все установлено правильно вы получите:
YOUR_DOMAIN.net resolves to 12.214.21.11
Server Type: nginx
The certificate should be trusted by all major web browsers (all the correct intermediate certificates are installed).
The certificate was issued by Let's Encrypt.
The certificate will expire in 51 days.
The hostname (YOUR_DOMAIN.net) is correctly listed in the certificate.
Common name: YOUR_DOMAIN.net
SANs: YOUR_DOMAIN.net, www.YOUR_DOMAIN.net
Valid from June 19, 2020 to September 17, 2020
Serial Number: 04d6788d18b
Signature Algorithm: sha256WithRSAEncryption
Issuer: Let's Encrypt Authority X3
Common name: Let's Encrypt Authority X3
Organization: Let's Encrypt
Location: US
Valid from March 27, 2016 to March 27, 2021
Serial Number: 0aa708
Signature Algorithm: sha256WithRSAEncryption
Issuer: DST Root CA X3
Если что то не так, то получите ошибку:
The certificate is self-signed. Users will receive a warning when accessing this site unless the certificate is manually added as a trusted certificate to their web browser. You can fix this error by buying a trusted SSL certificate
None of the common names in the certificate match the name that was entered (YOUR_DOMAIN.net). You may receive an error when accessing this site in a web browser. Learn more about name mismatch errors.
Common name: ip-12-21-12-128.us-east-2.compute.internal
Organization: Vesta Control Panel Org. Unit: IT
Location: San Francisco, California, US
Valid from June 19, 2020 to June 19, 2021
Serial Number: 273c5
Signature Algorithm: sha256WithRSAEncryption
Issuer: ip-12-21-12-128.us-east-2.compute.internal
Сделайте так:
в дирректории /home/admin/conf/web/ есть файл exim4.conf.template
там должно быть
SSLCertificateFile /home/admin/conf/web/ssl.HOSTNAME.crt
SSLCertificateKeyFile /home/admin/conf/web/ssl.HOSTNAME.key
SSLCertificateChainFile /home/admin/conf/web/ssl.HOSTNAME.ca
Запомните ваши HOSTAME
создаем bash скрипт через putty соединение:
mkdir /usr/serverok/
если ошибка, всегда используйте SUDO перед командами
Открываем в редакторе создание нового файла
vi /usr/serverok/ssl-renew-hostname
(если ошибка не забывайте про sudo в начале)
Вставьте следующий код, не забыв заменить значение HOSTNAME на ваш домен:
#!/bin/bash
# Author: ServerOk Software
# Web: www.serverok.in
# Email: admin@serverok.in
cat /home/admin/conf/web/ssl.HOSTNAME.crt > /usr/local/vesta/ssl/certificate.crt
cat /home/admin/conf/web/ssl.HOSTNAME.ca >> /usr/local/vesta/ssl/certificate.crt
cat /home/admin/conf/web/ssl.HOSTNAME.key > /usr/local/vesta/ssl/certificate.key
systemctl restart apache2
systemctl restart exim4
systemctl restart dovecot
/usr/local/vesta/nginx/sbin/vesta-nginx -s reloadЧтобы записать файл команда esc + :w, а потом чтобы выйти :qa!
Делаем файл исполняемым:
chmod 755 /usr/serverok/ssl-renew-hostname
Запускаем этот файл:
/usr/serverok/ssl-renew-hostname
Теперь SSL сертификат установлен для mail server и VestaCP.
А теперь нужно сделать чтобы он самообновлялся.
Создаем крон:
crontab -e
Добавляем в конец:
@weekly /usr/serverok/ssl-renew-hostname > /dev/null 2>&1
Все, теперь можете принимать почту по защищенному соединению TLS.
Тестировалось на The Bat версии 9.18
Чтобы проверить ваш сертификат используйте сайт:
https://www.sslshopper.com/ssl-checker.html#hostname=YOUR_DOMAIN.net:995
Если все установлено правильно вы получите:
YOUR_DOMAIN.net resolves to 12.214.21.11
Server Type: nginx
The certificate should be trusted by all major web browsers (all the correct intermediate certificates are installed).
The certificate was issued by Let's Encrypt.
The certificate will expire in 51 days.
The hostname (YOUR_DOMAIN.net) is correctly listed in the certificate.
Common name: YOUR_DOMAIN.net
SANs: YOUR_DOMAIN.net, www.YOUR_DOMAIN.net
Valid from June 19, 2020 to September 17, 2020
Serial Number: 04d6788d18b
Signature Algorithm: sha256WithRSAEncryption
Issuer: Let's Encrypt Authority X3
Common name: Let's Encrypt Authority X3
Organization: Let's Encrypt
Location: US
Valid from March 27, 2016 to March 27, 2021
Serial Number: 0aa708
Signature Algorithm: sha256WithRSAEncryption
Issuer: DST Root CA X3
Если что то не так, то получите ошибку:
The certificate is self-signed. Users will receive a warning when accessing this site unless the certificate is manually added as a trusted certificate to their web browser. You can fix this error by buying a trusted SSL certificate
None of the common names in the certificate match the name that was entered (YOUR_DOMAIN.net). You may receive an error when accessing this site in a web browser. Learn more about name mismatch errors.
Common name: ip-12-21-12-128.us-east-2.compute.internal
Organization: Vesta Control Panel Org. Unit: IT
Location: San Francisco, California, US
Valid from June 19, 2020 to June 19, 2021
Serial Number: 273c5
Signature Algorithm: sha256WithRSAEncryption
Issuer: ip-12-21-12-128.us-east-2.compute.internal
Оставить свой ответ:
