Вопрос или проблема
Проблемы с созданием сертификатов на сервере RHEL8 с поддержкой FIPS.
Сертификаты будут использоваться с сервером Postfix.
Получены следующие ошибки. Это связано с FIPS?
CONNECTED(00000003)
140621555345216:error:1408F10B:
SSL routines:ssl3_get_record:wrong version number:
ssl/record/ssl3_record.c:332:
---
свидетельство о партнёрстве недоступно
---
Не было отправлено имён CA клиентского сертификата
---
SSL рукопожатие прочитало 5 байт и записало 328 байт
Проверка: ОК
---
Новый, (NONE), Шифр (NONE)
Безопасная повторная переговорка НЕ поддерживается
Сжатие: НЕТ
Расширение: НЕТ
ALPN не согласовано
Ранние данные не были отправлены
Код возврата проверки: 0 (ок)
Ответ или решение
Ошибка "wrong version number" в OpenSSL может возникнуть по нескольким причинам, особенно на сервере с включенным режимом FIPS, как в случае с вашей системой на RHEL8.
1. Контекст и Возможные Причины Ошибки
При получении сертификатов для использования с Postfix, вы столкнулись с ошибкой, указывающей на неправильный номер версии протокола. Это может означать, что ваш сервер или клиент пытается использовать протокол, который не поддерживается или не совместим с другой стороной соединения.
FIPS и Его Влияние
FIPS (Federal Information Processing Standards) – это набор стандартов, требующих соблюдения определенных криптографических практик, что может ограничивать использование некоторых более старых или менее безопасных протоколов. Убедитесь, что клиент, с которым вы пытаетесь соединиться, поддерживает тот же протокол и версию, что и ваш OpenSSL, настроенный под FIPS. Если ваше ПО пытается использовать устаревший SSL 3.0 или TLS 1.0, который может не поддерживаться в данном конфигурационном режиме, это может привести к ошибкам.
2. Возможные Решения
А. Проверка Конфигурации OpenSSL
Убедитесь, что версия OpenSSL на вашем сервере соответствует требованиям вашего проекта. Это можно сделать с помощью команды:
openssl versionЕсли версия устарела, рассмотрите возможность её обновления.
Б. Проверьте Настройки Postfix и OpenSSL
В конфигурационных файлах Postfix (обычно это main.cf и master.cf) убедитесь, что указаны правильные параметры для SSL. Например, они могут включать:
smtpd_tls_cert_file=/path/to/your/cert.pem
smtpd_tls_key_file=/path/to/your/key.pem
smtpd_use_tls=yesТакже стоит убедиться, что используемые вами сертификаты и ключи соответствуют требованиям FIPS.
В. Настройки Протоколов TLS
Убедитесь, что сервер настроен на использование поддерживаемых версий TLS. Например, вы можете задать поддержку TLS 1.2 и выше, если старая версия не нужна:
openssl s_client -connect yourserver.com:port -tls1_2Если вы видите ошибку с неправильным номером версии, это может указывать на то, что ваша защита отключила поддержку устаревших протоколов.
Г. Проверьте Сетевые Настройки
Настройка сетевого взаимодействия, включая фаервол и прокси, также может повлиять на установление соединения SSL/TLS. Убедитесь, что нужные порты открыты и доступ к серверу возможен.
3. Заключение
Ошибки, связанные с OpenSSL и сертификатами, могут быть сложными, особенно когда дело касается конфигураций, связанных с FIPS. Однако, проверив вышеописанные аспекты, вы сможете более точно определить причину проблемы и устранить её. Рекомендуется вести журнал всех изменений и тестировать каждую настройку отдельно, чтобы выявить конкретную причину ошибки.