Uzyskiwanie certyfikatu SSL

[prymula]

Witajcie

Kontynuując w temacie pocztowym, naszła mnie myśl, aby moc sprawdzać – choćby z automatu – czy na serwerze nie znajdują się nowe wiadomości. Ktoś w sieci polecał skrypt Pythona ‘offlineimap’, więc wziąłem go na próbę. Po sukcesie w instalowaniu zależności, utknąłem z uzyskiwaniem certyfikatu od dostawcy poczty. Certyfikat próbuję uzyskać w następujący sposób:

sudo  openssl s_client -connect imap.wp.pl:993 -CApath /usr/local/share/ca-certificates

Ściągnąć, ściąga. Jednak przy kolejnej probie na końcu dokumentu…

Verify return code: 20 (unable to get local issuer certificate)

 

Jednak dałbym sobie dać kuksańca, że przy pierwszej probie było tak:

Verify return code: 0 (ok)

 

Jednak po pierwszym pobraniu certyfikatu, skrypt zwracał błąd – choć możliwe że po prostu zakręciłem się z tymi całymi account i remoteuser w pliku konfiguracyjnym.

Niestety niechcący nadpisałem pierwszą instancję certyfikatu, więc nie mogę do niej wrócić. Po kolejnym pobraniu certyfikat – pomimo code 20 - umieściłem w ‘/usr/local/share/ca-certificates’ i wykonałem:

update-ca-certificates

update nic nie wypisało na wyjściu.

Nie wiem, może po prostu należy poczekać…

Przypis:

https://superuser.com/questions/437330/how-do-you-add-a-certificate-authority-ca-to-ubuntu

Pozdrawiam

 

PS. Te certyfikaty to dla mnie nowość, możliwe że coś źle rozumuję.

[SeeM]

Według podręcznika update-ca-certificates na Fedorze ścieżki z certyfikatami są inne. Nie ma to aż takiego znaczenia.

Koniec końców twój CA powinien wylądować w pliki /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem . Możesz go sobie nawet dopisać na końcu, na chwilę zmieniając uprawnienia z 444 na 644. Nie wszystkie aplikacje ten plik czytają i uznają. Czasem mają własne magazyny z certyfikatami. Na Windowsie jest zresztą bardzo podobnie, to znaczy jest dokładnie taki sam bałagan. (-:

[prymula]

Zdaję sobie sprawę że być może wymagam za dużo, ale przy próbie uruchomienia skryptu ‘offlineimap.py’ na wyjściu gości taki komunikat:

OfflineIMAP 8.0.0 
 Licensed under the GNU GPL v2 or any later version (with an OpenSSL exception) 
imaplib2 v3.06, Python v3.6.15, OpenSSL 1.1.1w-fips  11 Sep 2023 SUSE release 150600.5.3.1 
Account sync XXXXX: 
*** Processing account XXXXX
Establishing connection to imap.wp.pl:993 (main-remote) 
ERROR: Unknown SSL protocol connecting to host 'imap.wp.pl' for repository 'main-remote'. OpenSSL responded: 
[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:866) 
*** Finished account 'XXXXX' in 0:00 
ERROR: Exceptions occurred during the run! 
ERROR: offlineimap.error.OfflineImapError: Unknown SSL protocol connecting to host 'imap.wp.pl' for repository 'main-remote'. OpenSSL responded: 
[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:866)

Czy to oznacza że WP przesłała mi jakiś trefny certyfikat ?

 

Konfiguracja ‘offlineimap’

[general]
# List of accounts to be synced, separated by a comma.
accounts = XXXXX

[Account XXXXX]
# Identifier for the local repository; e.g. the maildir to be synced via IMAP.
localrepository = main-local
# Identifier for the remote repository; i.e. the actual IMAP, usually non-local.
remoterepository = main-remote

[Repository main-local]
# OfflineIMAP supports Maildir, GmailMaildir, and IMAP for local repositories.
type = Maildir
# Where should the mail be placed?
localfolders = ~/mail

[Repository main-remote]
# Remote repos can be IMAP or Gmail, the latter being a preconfigured IMAP.
# SSL and STARTTLS are enabled by default.
type = IMAP
# starttls = yes
remotehost = imap.wp.pl
remoteuser = [email protected]
#remotepass =
# ssl = yes
# Necessary for SSL connections, if using offlineimap version > 6.5.4
sslcacertfile = /etc/ssl/certs/ca-certificates.crt

PS. Całe szczęście okazało się że skasowałem tylko kopie pierwszego pobrania certyfikatu, oryginał zalegał gdzie indziej – rutyna.