bash से smtp.gmail.com "प्रमाणपत्र में त्रुटि: सहकर्मी के प्रमाणपत्र जारीकर्ता को मान्यता नहीं दी गई है।"


11

यदि कोई समस्या है, तो मुझे ईमेल स्क्रिप्ट की आवश्यकता है और कंपनी केवल Gmail का उपयोग करती है। कुछ पोस्ट निर्देशों के बाद मैं एक .mailrc फ़ाइल का उपयोग करके मेलक्स सेट करने में सक्षम था। वहाँ पहले nss-config-dir की त्रुटि थी जिसे मैंने हल किया था। कुछ फ़ायरफ़ॉक्स निर्देशिका से .db फ़ाइलों को कॉपी करके। ./certs और mailrc में इसे लक्ष्य करना। एक मेल भेजा गया था।

हालाँकि, ऊपर त्रुटि आई। कुछ चमत्कार के द्वारा, .db में Google प्रमाणपत्र था। यह इस आदेश के साथ दिखा:

~]$ certutil -L -d certs

Certificate Nickname                                         Trust Attributes
                                                             SSL,S/MIME,JAR/XPI

GeoTrust SSL CA                                              ,,
VeriSign Class 3 Secure Server CA - G3                       ,,
Microsoft Internet Authority                                 ,,
VeriSign Class 3 Extended Validation SSL CA                  ,,
Akamai Subordinate CA 3                                      ,,
MSIT Machine Auth CA 2                                       ,,
Google Internet Authority                                    ,,

सबसे अधिक संभावना है, इसे अनदेखा किया जा सकता है, क्योंकि मेल ने वैसे भी काम किया। अंत में, कुछ बाल और कई गुगली खींचने के बाद, मुझे पता चला कि खुद को झुंझलाहट से कैसे छुटकारा पाया जाए।

सबसे पहले, मौजूदा प्रमाणपत्र को ASSCII फ़ाइल में निर्यात करें:

~]$ certutil -L -n 'Google Internet Authority'  -d certs -a > google.cert.asc

अब उस फ़ाइल को फिर से आयात करें, और इसे SSL प्रमाणपत्र के लिए विश्वसनीय के रूप में चिह्नित करें, ala:

~]$ certutil -A -t "C,," -n 'Google Internet Authority'  -d certs -i google.cert.asc

इसके बाद, सूची से पता चलता है कि यह विश्वसनीय है:

~]$ certutil -L -d certs

Certificate Nickname                                         Trust Attributes
                                                             SSL,S/MIME,JAR/XPI
...
Google Internet Authority                                    C,,

और mailx कोई अड़चन के साथ बाहर भेजता है।

~]$ /bin/mailx -A gmail -s "Whadda ya no" somebody@acompany.com
ho ho ho
EOT
~]$

मुझे आशा है कि यह किसी ऐसे व्यक्ति के लिए उपयोगी है जो त्रुटि के साथ किया जा रहा है।

इसके अलावा, मैं somethings के बारे में उत्सुक हूँ।

मैं यह प्रमाण पत्र कैसे प्राप्त कर सकता हूं, अगर यह संयोग से मोज़िला डेटाबेस में नहीं था? उदाहरण के लिए, ऐसा कुछ है?

    ~]$ certutil -A -t "C,," \
                 -n 'gmail.com'  \
                 -d certs \
                 -i 'http://google.com/cert/this...'

जवाबों:


13

खैर यह एक लाइनर नहीं है जो मैं चाहता था, लेकिन यह कैसे खरोंच से एक प्रमाण पत्र लाने और आयात करने के लिए है:

# Create a certificate directory
~]$ mkdir certs

# Create a new database in the certs dir
~]$ certutil -N -d certs 

# Need now a chain certificate - May 18, 2015
~]$ wget https://www.geotrust.com/resources/root_certificates/certificates/GeoTrust_Global_CA.cer

# Need now a chain certificate part 2 - May 18, 2015
~]$ mv GeoTrust_Global_CA.cer certs/

# Fetch the certificate from Gmail, saving in the text file GMAILCERT
# Added the CA opion - May 18, 2015
~]$ echo -n | openssl s_client -connect smtp.gmail.com:465 -CAfile certs/GeoTrust_Global_CA.cer | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > GMAILCERT

# Import the new cert file into the new database in the new dir
~]$ certutil -A -n "Google Internet Authority" -t "C,," -d certs -i GMAILCERT 

# Double Check
~]$ certutil -L -d certs

Certificate Nickname                                         Trust Attributes
                                                             SSL,S/MIME,JAR/XPI

Google Internet Authority                                    C,,  

Yaa! और इस टिकट पर जवाब के लिए धन्यवाद


1
मुझे फिर से एक त्रुटि मिल रही है, "प्रमाणपत्र में त्रुटि: सहकर्मी के प्रमाणपत्र जारीकर्ता को मान्यता नहीं मिली है।" जीमेल प्रमाण पत्र जो मेरे पास था वह समाप्त हो गया था, ऐसा लगता है जैसे नया एक जंजीर प्रमाण पत्र है। openssl s_client -showcerts -connect smtp.gmail.com:465 </dev/nullउन सभी को देखने के लिए।
स्पजम

1
जारीकर्ता सेर फ़ाइल डाउनलोड करने के लिए एक चरण के साथ उत्तर अपडेट करें।
ndasusers


7

इस पोस्ट को फिर से अपडेट करने की आवश्यकता है। मुझे अपने CentOS 7 बॉक्स पर अपने mailx install से परेशानी हो रही थी। मेल भेजेगा लेकिन मुझे अभी भी "प्रमाणित में त्रुटि: सहकर्मी के प्रमाणपत्र जारीकर्ता को मान्यता नहीं मिली है।" त्रुटि।

मुझे यहाँ समाधान मिला , हालांकि इसका अनुवाद करना था।

यहाँ यह करने के लिए एक त्वरित तरीका है:

# Create a certificate directory
mkdir ~/.certs

# Create a new database in the certs dir (dont forget to enter your pass phrase!)
certutil -N -d ~/.certs 

# Create three files for the cert chain
touch ~/.certs/google ~/.certs/geotrust ~/.certs/equifax

# Copy the cert chain for smtp.google.com:465 over to my_certs file (don't forget the -showcerts option, CTRL + C to end this command)
openssl s_client -showcerts -connect smtp.gmail.com:465 > ~/.certs/my_certs

अब प्रत्येक सर्टिफिकेट --BEGIN CERTIFICATE-- और - END CERTIFICATE-- सहित कॉपी करें और उन्हें अपनी संबंधित फाइलों में पेस्ट करें जिन्हें आपने पहले बनाया था (google, geotrust, equifax) और अब उन फाइलों को सेव करें।

# Open your my_certs file you made earlier and copy the google cert (usually the first one)
nano ~/.certs/my_certs

# Open your google file, paste the google cert that you just copied, and save and close
nano ~/.certs/google

# Open your my_certs file you made earlier and copy the geotrust cert (usually the second one)
nano ~/.certs/my_certs

# Open your geotrust file, paste the geotrust cert that you just copied, and save and close
nano ~/.certs/geotrust

# Open your my_certs file you made earlier and copy the equifax cert (usually the third one)
nano ~/.certs/my_certs

# Open your equifax file, paste the equifax cert that you just copied, and save and close
nano ~/.certs/equifax

अब हमें इनमें से हर एक को db में आयात करना होगा।

# Import the google cert into the db
certutil -A -n "Google Internet Authority" -t "TC,," -d ~/.certs -i ~/.certs/google

# Import the geotrust cert into the db
certutil -A -n "GeoTrust Global CA" -t "TC,," -d ~/.certs -i ~/.certs/geotrust

# Import the equifax cert into the db
certutil -A -n "Equifax Secure Certificate Authority" -t "TCP,," -d ~/.certs -i ~/.certs/equifax

# Double check to make sure everything imported correctly into the db
certutil -L -d ~/.certs

उदाहरण आउटपुट:

Certificate Nickname                                         Trust Attributes
                                                             SSL,S/MIME,JAR/XPI

Google Internet Authority                                    CT,,
GeoTrust Global CA                                           CT,,
Equifax Secure Certificate Authority                         CT,,

साफ समय (वैकल्पिक)

# Remove all unnecessary files since the db has the certs :)
rm -rf ~/.certs/google ~/.certs/geotrust ~/.certs/equifax ~/.certs/my_certs

# Now run a test to make sure mailx is sending correctly now (don't forget to change yourname@example.com to the email address you'd like to send to)
echo "Your message" | mail -s "Message Subject" yourname@example.com

यही होना चाहिए, आपको "प्रमाणित में त्रुटि: सहकर्मी के प्रमाणपत्र जारीकर्ता को मान्यता प्राप्त नहीं है।" किसी भी अधिक त्रुटि!

टिप्पणियाँ:

आपने देखा होगा कि मैंने डायर को इससे बदल दिया /certsहै ~/.certs। mailx रूट के रूप में चलता है, इसलिए मैंने इन परिवर्तनों को रूट / के रूप में बनाया है। "~ /" का अर्थ है कि गृह निर्देशिका ने सभी को एक साथ रखा ~/.certsहै /root/.certs/। मुझे यकीन है कि आप जानते थे कि लेकिन हे सिर्फ मामले में आप कभी नहीं जानते कि यह कौन पढ़ रहा है!

बस अगर आपको इसकी आवश्यकता है, तो यहाँ विन्यास विकल्प है जो मैंने नीचे से जोड़ा है /etc/mail.rc

# /etc/mail.rc options added to the bottom
set smtp-use-starttls
set smtp-auth=login
set smtp=smtp://smtp.gmail.com:587
set from="your.from.user@gmail.com(Web01 Server)"
set smtp-auth-user=your.smtp.user@gmail.com
set smtp-auth-password=your.pass
set ssl-verify=ignore
set nss-config-dir=/root/.certs

अपने संबंधित चर को अपने.from.user, your.smtp.user, और your.pass को बदलना सुनिश्चित करें।


धन्यवाद opterons यह आकर्षण की तरह काम किया, मुझे नहीं पता कि @ndasusers ने काम क्यों नहीं किया।
अभिषेक माधनी

किसी को भी पता है कि ईमेल सर्वर को लोड करने और क्लस्टर के रूप में चलाने पर समस्या को कैसे हल किया जाए? उदाहरण के लिए, Office 365 प्रमाणित रूप से एक त्रुटि प्राप्त करेगा क्योंकि कनेक्शन के अंत में सर्वर कनेक्शन से कनेक्शन में बदल जाता है।
ब्रैड

यह फिर से पुराना हो गया है: -showcertsदो प्रमाणपत्र देता है, न कि 3. दूसरा एक GlobalSign है। फिर भी, यह प्रक्रिया केवल एक ही है जो काम करती है, इसलिए +1: उपयोग करें -showcerts, इसमें सभी प्रमाण पत्र ढूंढें (वर्तमान में 2), और व्यक्तिगत रूप से उन्हें डेटाबेस में आयात करें।
ईएमएल

... और के opensslरूप में चलाने के लिए echo -n | openssl, यह इनपुट के लिए इंतजार कर ओ.टी. लटका
EML

@ ईएमएल + या openssl s_client </dev/null। हां, 2017 तक Google (जीमेल सहित) जीआईटी 2 से जियोट्रस्ट / इक्विफेक्स के तहत जीआईए 3 से ग्लोबल ट्रांसपोर्ट के तहत बदल गया। लेकिन श्रृंखला के सभी समारोहों को संग्रहीत करने की कोई आवश्यकता नहीं है। और यदि कोई भी अपराधी या नपुंसक (उदासीन सरकार की तरह) gmail को लागू करता है, तो यह विधि न केवल उन पर भरोसा करती है, बल्कि स्थायी रूप से ऐसा करती है - अन्य उपयोगकर्ताओं को अस्थायी रूप से अवैध रूप से जारी प्रमाण पत्र द्वारा मूर्ख बनाया जा सकता है, लेकिन जब इसे रद्द कर दिया जाता है, तो इस पर भरोसा करते हुए तरीका है कि आप अपने सभी ईमेल ई-मेलर्स को देते रहें।
dave_thompson_085

0

मैंने इस थ्रेड में उत्तरों के आधार पर एक छोटी स्क्रिप्ट बनाई, जो स्वचालित रूप से वर्तमान gmail smt certs को खींच, पार्स और स्थापित करेगी। यदि सीरेट्स की संख्या फिर से बदल जाती है, तो इसे संभालने में सक्षम होना चाहिए।

यहाँ एक pastebin सिंटैक्स हाइलाइटिंग के साथ है

#!/bin/bash

# This script pulls ssl certs for using gmail smtp. Adapted from the following config explaination:
# /server/498588/smtp-gmail-com-from-bash-gives-error-in-certificate-peers-certificate-issuer

certdirectory="/home/user/.certs"

# Functions

fail() {
    ec=$?
    [ "${ec}" == "0" ] && ec=1
    echo -e "FAILED[code=$ec]: $@"
    exit $ec
}

warn(){
echo -e "WARNING $@"
}

cleanup() {
  rm allgcert* || warn "Cleanup of files errored"
  rm gcert* || warn "Cleanup of files errored"
}

failclean() {
  cleanup
  fail "$@"
}

# Count number of certs currently being used (can change from time to time)
numcerts=$(echo -n | openssl s_client -showcerts -connect smtp.gmail.com:465 | grep -c "i:")

# Create the certs directory if it does not exist
mkdir -p $certdirectory || fail "Unable to create certificates directory"

# Pull certs to a local file for parsing
echo -n | openssl s_client -showcerts -connect smtp.gmail.com:465 | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > allgcert || failclean "Unable to pull certs from smtp.gmail.com"

# Parses certs output based on the number of certs, and outputs to individual files
if (($numcerts > 1)) ; then
  # Pulls the first cert out as it needs one extra line
  sed '1,27!d' allgcert > gcert1
  # For subsequent certs, it multiplies the cert number by the number of lines in the file where it should exist
  for i in $(seq 2 $numcerts) ; do
    sed "$((2 + (((($i - 1)) * 26))))"','"$((1 + (($i * 26))))"'!d' allgcert > gcert${i}
  done
fi

# Parses out certificate issuer names for installation
echo -n | openssl s_client -showcerts -connect smtp.gmail.com:465 | grep i: | sed -e 's,.*=,,' > allgcertnames || failclean "Unable to output parsed names for certificates"

for i in $(seq 1 $numcerts) ; do
  certutil -A -n "$(sed -n ${i}p allgcertnames)" -t "TC,," -d $certdirectory -i gcert${i} || failclean "Unable to import certificates to database"
done

cleanup

जैसा कि ऊपर यह गलत बात है, लेकिन अगर आप इसे करना चाहते हैं तो awk की एक लाइन पर्याप्त है:openssl s_client </dev/null -showcerts -connect ... | awk '/^ i:/{n=substr($0,7)} /-BEGIN/,/-END/{print>"t"} /-END/{close("t"); system("certutil -A -n \"" n "\" -t TC,, -i t -d certdir || echo failed; rm t")}'
dave_thompson_085

उस स्क्रिप्ट के निर्माण से पहले मैंने आपकी टिप्पणी नहीं देखी। धन्यवाद! संपादित करें: आपके एक-लाइनर को फिर से पढ़ने के बाद, मुझे अपनी स्क्रिप्ट और उस एक के बीच कोई व्यावहारिक अंतर दिखाई नहीं देता है। मुझे लगता है कि आपने मुझे मूल रूप से मेरी स्क्रिप्ट का वन-लाइनर संस्करण दिया है। क्या ऐसा करने के लिए अनुशंसित "सही तरीका" है जिसमें स्थायी विश्वास का मुद्दा नहीं होगा?
pyr0ball
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.