Debian Debian-France Debian-Facile Debian-fr.org Debian-fr.xyz Debian ? Communautés

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 28-08-2020 11:02:25

robert2a
Membre
Distrib. : debian 11
(G)UI : Mate
Inscription : 15-11-2014

Exim4 demande un certificat

Bonjour
quelqu'un a une idée  pour éviter ce message de Exim


2020-08-28 11:53:07 Warning: No server certificate defined; will use a selfsigned one.
 Suggested action: either install a certificate or change tls_advertise_hosts option
2020-08-28 11:53:07 exim 4.94 daemon started: pid=3997, -q30m, listening for SMTP on [127.0.0.1]:25 [::1]:25
2020-08-28 11:53:07 Start queue run: pid=3998
2020-08-28 11:53:07 End queue run: pid=3998
 

En ligne

#2 28-08-2020 12:33:25

robert2a
Membre
Distrib. : debian 11
(G)UI : Mate
Inscription : 15-11-2014

Re : Exim4 demande un certificat

ça ne fonctionne pas


ls -l
 



total 104
drwxr-xr-x 9 root root         4096 août  28 11:52 conf.d
-rw-r--r-- 1 root root        80005 juil. 24 13:31 exim4.conf.template
-rw-r--r-- 1 root root          928 août  28 12:40 exim.crt
-rw------- 1 root root          887 août  28 12:39 exim.key
-rw-r--r-- 1 root root          928 août  28 12:54 exim.pem
-rw-r----- 1 root Debian-exim   204 juil. 24 13:31 passwd.client
-rw-r--r-- 1 root root         1029 août  28 12:06 update-exim4.conf.conf
 



pourquoi ne pas laisser le choix de ne pas l'utiliser comme avant.
de plus "orange" n'accepte plus les mails ou exim4 ne les envoies plus (ou mal )
et en local dans "/var/mail/robert" c'est pas mieux  roll
ps: quand on voit l'état du paquet "ca-certificates" sur testing on a tout compris  tongue

la partie pour le certificat dans exim4


### main/03_exim4-config_tlsoptions
#################################

# TLS/SSL configuration for exim as an SMTP server.
# See /usr/share/doc/exim4-base/README.Debian.gz for explanations.

.ifdef MAIN_TLS_ENABLE
# Defines what hosts to 'advertise' STARTTLS functionality to. The
# default, *, will advertise to all hosts that connect with EHLO.
.ifndef MAIN_TLS_ADVERTISE_HOSTS
MAIN_TLS_ADVERTISE_HOSTS = *
.endif
tls_advertise_hosts = MAIN_TLS_ADVERTISE_HOSTS


# Full paths to Certificate and Private Key. The Private Key file
# must be kept 'secret' and should be owned by root.Debian-exim mode
# 640 (-rw-r-----). exim-gencert takes care of these prerequisites.
# Normally, exim4 looks for certificate and key in different files:
#   MAIN_TLS_CERTIFICATE - path to certificate file,
#                          CONFDIR/exim.crt if unset
#   MAIN_TLS_PRIVATEKEY  - path to private key file
#                          CONFDIR/exim.key if unset
# You can also configure exim to look for certificate and key in the
# same file, set MAIN_TLS_CERTKEY to that file to enable. This takes
# precedence over all other settings regarding certificate and key file.
.ifdef MAIN_TLS_CERTKEY
tls_certificate = MAIN_TLS_CERTKEY
.else
.ifndef MAIN_TLS_CERTIFICATE
MAIN_TLS_CERTIFICATE = CONFDIR/exim.crt
.endif
tls_certificate = MAIN_TLS_CERTIFICATE

.ifndef MAIN_TLS_PRIVATEKEY
MAIN_TLS_PRIVATEKEY = CONFDIR/exim.key
.endif
tls_privatekey = MAIN_TLS_PRIVATEKEY
.endif

# Pointer to the CA Certificates against which client certificates are
# checked. This is controlled by the `tls_verify_hosts' and
# `tls_try_verify_hosts' lists below.
# If you want to check server certificates, you need to add an
# tls_verify_certificates statement to the smtp transport.
# /etc/ssl/certs/ca-certificates.crt is generated by
# the "ca-certificates" package's update-ca-certificates(8) command.
.ifndef MAIN_TLS_VERIFY_CERTIFICATES
MAIN_TLS_VERIFY_CERTIFICATES = ${if exists{/etc/ssl/certs/ca-certificates.crt}\
                                    {/etc/ssl/certs/ca-certificates.crt}\
            {/dev/null}}
.endif
tls_verify_certificates = MAIN_TLS_VERIFY_CERTIFICATES


# A list of hosts which are constrained by `tls_verify_certificates'. A host
# that matches `tls_verify_host' must present a certificate that is
# verifyable through `tls_verify_certificates' in order to be accepted as an
# SMTP client. If it does not, the connection is aborted.
.ifdef MAIN_TLS_VERIFY_HOSTS
tls_verify_hosts = MAIN_TLS_VERIFY_HOSTS
.endif

# A weaker form of checking: if a client matches `tls_try_verify_hosts' (but
# not `tls_verify_hosts'), request a certificate and check it against
# `tls_verify_certificates' but do not abort the connection if there is no
# certificate or if the certificate presented does not match. (This
# condition can be tested for in ACLs through `verify = certificate')
# By default, this check is done for all hosts. It is known that some
# clients (including incredimail's version downloadable in February
# 2008) choke on this. To disable, set MAIN_TLS_TRY_VERIFY_HOSTS to an
# empty value.
.ifdef MAIN_TLS_TRY_VERIFY_HOSTS
tls_try_verify_hosts = MAIN_TLS_TRY_VERIFY_HOSTS
.endif

.else
# Use upstream defaults
.endif
#####################################################
### end main/03_exim4-config_tlsoptions
#####################################################
 

Dernière modification par robert2a (28-08-2020 12:38:56)

En ligne

#3 28-08-2020 13:07:04

robert2a
Membre
Distrib. : debian 11
(G)UI : Mate
Inscription : 15-11-2014

Re : Exim4 demande un certificat

on va tester


2.2.2. Prise en charge TLS pour Exim en tant que serveur

Exim prend en charge le TLS opportuniste entrant en utilisant des certificats auto-signés à la connexion. Ce n'est pas optimal à la fois pour des raisons de performances et parce que ces certificats ne peuvent pas être vérifiés en connectant des clients / serveurs.

Chaque fois qu'un certificat à la demande est créé, exim enregistre un message d'information dans le journal principal qui ressemble à ceci:

    Avertissement: aucun certificat de serveur défini; utilisera un auto-signé. Action suggérée: installez un certificat ou modifiez l'option tls_advertise_hosts

Ce message informatif peut être ignoré.

Pour éviter le (petit) problème de performances et le message du journal, on peut créer localement des certificats. Le script exim-gencert (qui nécessite openssl) peut être utile à cette fin. Il est livré dans / usr / share / doc / exim4-base / examples / et prend en charge les privilèges d'accès appropriés sur le fichier de clé privée lors de l'installation de la clé / certificat dans / etc / exim4 /.

On peut également obtenir un certificat d'une CA et installer la clé dans /etc/exim4/exim.key et le certificat dans /etc/exim4/exim.crt.

Pour activer l'utilisation des certificats installés, définissez la macro MAIN_TLS_ENABLE dans un fichier de configuration local comme décrit dans Section 2.1.3, «Utilisation des macros Exim pour contrôler la configuration».
 



le message est informatif et peut être ignoré  roll , on va faire comme cela alors  tongue

nota: il y a un petit utilitaire dans /usr/share/doc/exim4-base/examples/exim-gencert
pour générer ce qu'il faut directement dans /etc/exim4/
ça n'a pas fonctionné non plus

Dernière modification par robert2a (28-08-2020 13:28:01)

En ligne

Pied de page des forums