रिमोट एसएमटीपी सर्वर के टीएलएस प्रमाणपत्र का निरीक्षण कैसे करें?


63

हमारे पास Windows Server 2008 पर Exchange 2007 सर्वर चल रहा है। हमारा क्लाइंट किसी अन्य विक्रेता के मेल सर्वर का उपयोग करता है। उनकी सुरक्षा नीतियों के लिए हमें लागू टीएलएस का उपयोग करना होगा। यह हाल तक ठीक काम कर रहा था।

अब, जब एक्सचेंज क्लाइंट के सर्वर पर मेल पहुंचाने की कोशिश करता है, तो यह निम्नलिखित लॉग करता है:

कनेक्टर-डिफॉल्ट बाहरी मेल पर डोमेन-सुरक्षित डोमेन 'ourclient.com' के लिए एक सुरक्षित कनेक्शन स्थापित नहीं किया जा सका क्योंकि usclient.com के लिए ट्रांसपोर्ट लेयर सिक्योरिटी (TLS) सर्टिफिकेट की मान्यता स्टेटस 'अनट्रस्टर्डरूट' के साथ विफल रही। समस्या को हल करने के लिए, या डोमेन-सुरक्षित सूची से डोमेन को हटाने के लिए ourclient.com के व्यवस्थापक से संपर्क करें।

TLSSendDomainSecureList से ourclient.com को हटाने से अवसरवादी TLS का उपयोग कर सफलतापूर्वक संदेश दिया जा सकता है, लेकिन यह सबसे अच्छा अस्थायी अस्थायी है।

ग्राहक एक बहुत बड़ा, सुरक्षा के प्रति संवेदनशील अंतर्राष्ट्रीय निगम है। हमारा आईटी संपर्क उनके टीएलएस प्रमाणपत्र में किसी भी बदलाव से अनजान होने का दावा करता है। मैंने उनसे बार-बार उस प्राधिकरण को पहचानने के लिए कहा है जिसने प्रमाण पत्र तैयार किया है ताकि मैं सत्यापन त्रुटि का निवारण कर सकूं, लेकिन अभी तक वह जवाब देने में असमर्थ रहा है। मुझे पता है कि हमारे क्लाइंट के लिए इन-हाउस सर्टिफिकेट अथॉरिटी से एक के साथ उनका वैध टीएलएस सर्टिफिकेट बदला जा सकता है।

क्या किसी को दूरस्थ SMTP सर्वर के TLS प्रमाणपत्र को मैन्युअल रूप से निरीक्षण करने का एक तरीका पता है, क्योंकि एक वेब ब्राउज़र में दूरस्थ HTTPS सर्वर के प्रमाणपत्र के लिए कोई भी कर सकता है? यह निर्धारित करने में बहुत मददगार हो सकता है कि किसने प्रमाणपत्र जारी किया और उस जानकारी की तुलना हमारे एक्सचेंज सर्वर पर विश्वसनीय रूट प्रमाणपत्रों की सूची से की।

जवाबों:


100

आप OpenSSL का उपयोग कर सकते हैं। यदि आपको प्रमाण पत्र की जांच करनी है STARTTLS, तो बस करें

openssl s_client -connect mail.example.com:25 -starttls smtp

या एक मानक सुरक्षित smtp पोर्ट के लिए:

openssl s_client -connect mail.example.com:465

सुंदर। ओपनएसएसएल में इसी तरह की सत्यापन त्रुटियां हैं, लेकिन बहुत अधिक विस्तार। अब हम जानते हैं कि समस्या हमारे मेल सर्वर तक सीमित नहीं है।
स्काईवॉक

1
@ माइल्स: यदि आप विंडोज पर यह कोशिश कर रहे हैं, तो यह मत भूलो कि opensslविंडोज सर्टिफिकेट स्टोर का उपयोग करने का समर्थन नहीं करता है, इसलिए यह हमेशा सत्यापन विफल हो जाएगा।
ग्रैविटी

3
मैं सर्वर प्रमाणपत्र समाप्ति तिथि कैसे देख सकता हूं?
नीमरोड

9
@nimrodm: "opensl x509 -text" के लिए सर्टिफिकेट को पाइप करें
Dan

2
@DanAndreatta @nimrodm या इसे openssl x509 -noout -datesछोटे आउटपुट के लिए पाइप करें ।
स्किप्पी ले ग्रांड गौरौ जूल

9

मुझे पता है कि यह एक पुराना सवाल है, लेकिन अभी भी एक प्रासंगिक सवाल है कि उनके ईमेल सर्वरों पर एसएसएल प्रमाणपत्र वैधता की पुष्टि करने के इच्छुक लोग भी हैं।

आप https://www.checktls.com पर जा सकते हैं और मुफ्त में परीक्षण चला सकते हैं।


यह मेरे लिए काम करता था, कमांड लाइन की तुलना में अधिक पठनीय था
marijnz0r

1
मुझे साइट पर परीक्षण खोजने में परेशानी हो रही है। कोई संकेत?
जीरो 3

1
काले रंग में बटन 'CheckTLS' के साथ 'इंटरनेट सिक्योर ईमेल इज इजी' सेक्शन में एक इनपुट बॉक्स है।
केतन पटेल

@KetanPatel Aaaand ... मुझे 'इंटरनेट सिक्योर ईमेल इज़ी इज़ सेक्शन' कहां मिला?
Zero3

शर्म आती है, यह DNS में सूचीबद्ध SMTP सर्वर के लिए डोमेन की जांच करने और उन लोगों को क्वेरी करने के लिए लगता है, लेकिन मैं सीधे सर्वर की जांच करना चाहता था।
kerridge0

4

यदि आपके पास ओपनएसएसएल नहीं है, तो आप इस पायथन स्निपेट का भी उपयोग कर सकते हैं:

import smtplib
import ssl

connection = smtplib.SMTP() 
connection.connect('[hostname].')
connection.starttls()
print ssl.DER_cert_to_PEM_cert(connection.sock.getpeercert(binary_form=True))

जहां [hostname] सर्वर है।

स्रोत: https://support.google.com/a/answer/6180220

यह आपके लिए ओपनएसएसएल लाइब्रेरी को खींचता है, जो इंस्टॉल को थोड़ा आसान बनाता है।


से अजगर ssl मॉड्यूल प्रलेखन : "इस मॉड्यूल OpenSSL लाइब्रेरी का उपयोग करता।" तो यह जवाब थोड़ा भ्रामक है जो चल रहा है।
fbmd

@fbmd प्रतिक्रिया के लिए धन्यवाद। क्या यह बेहतर है (अंतिम वाक्य देखें)?
15

हाँ, यह बेहतर है।
fbmd
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.