Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Системное администрирование и сети

Попытка найти SSL-сертификат “отправленный MX”

На чтение 4 мин Опубликовано
Содержание
  1. Вопрос или проблема
  2. Ответ или решение
  3. 1. Определение проблемы
  4. 2. Расширяющая информация о сертификате
  5. 3. Поиск сертификата
  6. Проверьте настройки Postfix
  7. Обновление сертификата
  8. 4. Тестирование и проверка
  9. Заключение

Вопрос или проблема

Я пытаюсь диагностировать проблему с сертификатом SSL. Я обнаружил проблему, используя CheckTLS.com.

Сертификат #1 из 3 (отправлен MX): ПРОСРОЧЕН
Ошибка ВАЛИДАЦИИ сертификата: сертификат истек
Итак, электронная почта зашифрована, но домен получателя не проверен
Имя хоста сертификата ПОДТВЕРДЖЕНО (townsendhardware.com = townsendhardware.com | DNS:townsendhardware.com)

Не действителен до: 18 июл 11:54:10 2024 GMT
Не действителен после: 16 окт 11:54:09 2024 GMT
предмет: /CN=townsendhardware.com
выдатель: /C=US/O=Let’s Encrypt/CN=R11

Мой сертификат SSL браузера действителен и не имеет проблем, так что этот сертификат пришел откуда-то еще. Используя SSLShopper.com, я проверил как townsendhardware.com, так и, честно говоря, на удачу, mail.townsendhardware.com. И там он маленький вомбаты! Поддомена mail.townsendhardware.com нет, но я предполагаю, что это и подразумевается под “отправлено MX” в выводе CheckTLS.com.

Зная, что поддомена mail.townsendhardware.com нет, как я могу отследить местоположение этого сертификата? Я искал в файле nginx.conf и связанных с ним файлах vhost, но так как поддомена нет, файла vhost тоже нет, а найденные сертификаты все действительны.

SSL сертификат для SMTP MX на townsendhardware.com истек.

Исправьте вашу настройку Let’s Encrypt и обновите.

как я могу отследить местоположение этого сертификата?

Он на вашем почтовом сервере Postfix/MX. Это ничего не имеет общего с вашим веб-сервером nginx или какими-либо vhosts.

Ответ или решение

Для диагностики проблемы с SSL-сертификатом, отправленным вашим почтовым сервером (MX), необходимо следовать детализированным шагам, чтобы выявить источник и решить вопрос с истекшим сертификатом. Рассмотрим все этапы процесса.

1. Определение проблемы

Вы обнаружили, что сертификат, отправленный вашим почтовым сервером, истек, используя CheckTLS.com. В выводе указано:

  • Certificate #1 of 3 (sent by MX): Исчерпано
  • Cert VALIDATION ERROR(S): сертификат истек
  • Cert Hostname VERIFIED: townsendhardware.com = townsendhardware.com

Это означает, что ваш почтовый сервер использует сертификат, срок действия которого закончился. Хотя ваш браузер и веб-сервер, использующий Nginx, работают нормально, сертификат для SMTP (MX) требует вашего внимания.

2. Расширяющая информация о сертификате

Сертификат выдан:

  • Issuer: Let’s Encrypt
  • Valid From: 18 июля 2024
  • Valid Until: 16 октября 2024

Проблема заключается в том, что видимый срок действия указывает на необходимость обновления SSL-сертификата, так как он был признан недействительным.

3. Поиск сертификата

Чтобы локализовать и отремонтировать проблему с истекшим SSL-сертификатом, выполните следующие шаги:

Проверьте настройки Postfix

Ваш SSL-сертификат, вероятно, находится на почтовом сервере Postfix, а не в конфигурации Nginx.

  1. Откройте файл конфигурации Postfix:
    Обычно он расположен по пути /etc/postfix/main.cf. В нём вы сможете найти параметры, относящиеся к SSL.

  2. Запишите место хранения сертификатов:
    В файле main.cf должны быть указаны параметры, как, например:

    smtpd_tls_cert_file = /etc/letsencrypt/live/townsendhardware.com/fullchain.pem
smtpd_tls_key_file = /etc/letsencrypt/live/townsendhardware.com/privkey.pem

    Убедитесь, что пути к сертификатам корректны.

  3. Проверьте наличие и срок действия сертификатов:
    Используйте команду openssl для проверки сертификатов:

    openssl x509 -in /etc/letsencrypt/live/townsendhardware.com/fullchain.pem -text -noout

    Убедитесь в том, что у вас есть доступ к папке с сертификатами и что вы можете просматривать их.

Обновление сертификата

Используйте клиента Let’s Encrypt, например, Certbot, для обновления истекшего сертификата. Примените команды, как:

sudo certbot renew

Эта команда попытается автоматически обновить все сертификаты, которые были получены с использованием Certbot.

4. Тестирование и проверка

После обновления сертификата обязательно протестируйте почтовый сервер, чтобы гарантировать, что новые сертификаты были успешно применены. Вы можете использовать инструменты, такие как SSL Labs или снова CheckTLS.com, для проверки статуса SSL.

Заключение

Истекшие SSL-сертификаты могут создать проблемы с безопасностью и доступностью почты, поэтому принятие мер по их обновлению является критически важным. Важно следить за сроками действия сертификатов и правильно настраивать инструменты, такие как Certbot, чтобы автоматизировать процесс обновления. Если у вас возникнут дополнительные вопросы или затруднения, не стесняйтесь обращаться к специалистам по сетевой безопасности для получения консультаций.

mx-record nginx ssl-certificate
Оцените материал
Добавить комментарий

Капча загружается...

© 2024 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности