The bat центры сертификации



The bat центры сертификации

1.5.1. Итак у нас получилось два новых файла: для RapidSSL CA и для GeoTrust Global CA.
Для dovecot и exim мы объединим все три сертифкаты (ключая mail.globalclubbing.com) в один файл mail.globalclubbing.com.all.crt:
——BEGIN CERTIFICATE——
MIIE5TCCA82gAwIBAgICdPEwDQYJKoZIhvcNAQEFBQAwPDELMAkGA1UEBhMCVVMx
.
4HfgZX56IUcP
——END CERTIFICATE——
——BEGIN CERTIFICATE——
MIID1TCCAr2gAwIBAgIDAjbRMA0GCSqGSIb3DQEBBQUAMEIxCzAJBgNVBAYTAlVT
.
LEL2TxyJeN4mTvVvk0wVaydWTQBUbHq3tw==
——END CERTIFICATE——
——BEGIN CERTIFICATE——
MIIDVDCCAjygAwIBAgIDAjRWMA0GCSqGSIb3DQEBBQUAMEIxCzAJBgNVBAYTAlVT
.
5fEWCRE11azbJHFwLJhWC9kXtNHjUStedejV0NxPNO3CBWaAocvmMw==
——END CERTIFICATE——

1.5.2 Этот файл нужно подсунуть exim таким образом:
MAIN_TLS_CERTIFICATE = CONFDIR/mail.globalclubbing.com.all.crt
А для dovecot другим:
ssl_cert_file = /etc/ssl/certs/mail.globalclubbing.com.all.crt

1.6.1 В случае с apache, нужно делать два файла.
Сертификат нашего домена mail.globalclubbing.com.crt:
——BEGIN CERTIFICATE——
MIIE5TCCA82gAwIBAgICdPEwDQYJKoZIhvcNAQEFBQAwPDELMAkGA1UEBhMCVVMx
.
4HfgZX56IUcP
——END CERTIFICATE——

И mail.globalclubbing.com.ca.crt, который содержит только CA.
——BEGIN CERTIFICATE——
MIID1TCCAr2gAwIBAgIDAjbRMA0GCSqGSIb3DQEBBQUAMEIxCzAJBgNVBAYTAlVT
.
LEL2TxyJeN4mTvVvk0wVaydWTQBUbHq3tw==
——END CERTIFICATE——
——BEGIN CERTIFICATE——
MIIDVDCCAjygAwIBAgIDAjRWMA0GCSqGSIb3DQEBBQUAMEIxCzAJBgNVBAYTAlVT
.
5fEWCRE11azbJHFwLJhWC9kXtNHjUStedejV0NxPNO3CBWaAocvmMw==
——END CERTIFICATE——

1.6.2. И подключать через:
SSLCertificateFile /etc/ssl/certs/mail.globalclubbing.com.crt
SSLCertificateChainFile /etc/ssl/certs/mail.globalclubbing.com.ca.crt

2. Однако на этом проблема не заканчивается — The Bat! может заупрямиться и ответить: «Нет доверия к корневому S/MIME сертификату центра сертификации, поскольку его нет в адресной книге доверенных корневых центров сертификации». В журнале аналогичная запись: «Недействительный сертификат сервера (Нет доверия к корневому S/MIME сертификату центра сертификации, поскольку его нет в адресной книге доверенных корневых центров сертификации.)».

Источник

Сервер не предоставил корневой сертификат в сессии the bat: что делать?

«The Bat!» — это программа для операционной системы Windows, предназначенная для работы с электронной почтой и написанная на языке «Delphi». Программа актуальна и в настоящее время пользуется авторитетом, что вполне заслужено: многие считают её наиболее безопасной программой–клиентом для работы с электронной почтой.

Как и любой продукт данное программное обеспечение периодически «дает сбои»: происходят они достаточно часто, однако в большинстве случаев виновником проблемы является не сама программа, а компьютер на котором «The Bat!» установлен. При этом наиболее «популярная» ошибка — это «Недействительный сертификат CA», из-за которого невозможно соединиться с сервером the bat.

Что означает ошибка «сервер не представил корневой сертификат в сессии the bat»?

Из текста ошибки понятно, что «камнем преткновения» стала некая программа или процесс, сертификат которой является не проверенным или вызывает подозрение (если говорить «простым языком»). Иногда даже переустановка операционной системы с последующей установкой программы, не исправляет данной ситуации (из приведенных ниже способов устранения неполадки будет понятно, почему так происходит).

Итак, если сервер прервал соединение the bat, может помочь:

1. 1. Удаление базы данных старых сертификатов.

• откройте «Свойство» — «Настройка» далее раздел «Система» и «Почтовый каталог»;

• вас интересуют файл «RootCA.ABD» или («EBD») — это хранилища сертификатов;

• — после удаления старых сертификатов заново запустите программу — она автоматически создаст новую базу данных — проверьте работоспособность софта;
• — если удаление не помогло, попробуйте удалить файл «IntermCA.ABD», находится он в этом же файловом каталоге.

1. 2. Кроме того, существует довольно элегантное в своей простоте решение – включение «Microsoft CryptoAPI». В общем случае это набор функций для работы с криптографическими операциями (криптопровайдером).

Итак, в программе откройте «Свойства» вкладка «S/MIME и TLS» и в разделе «Реализация S/MIME и сертификаты TLS» поставьте галочку на строке «Microsoft CryptoAPI». Перезагрузите программу и подтвердите принятие изменений.

Что делать, если по-прежнему невозможно соединиться с сервером he bat?

1. 3. Возможно, ошибка «the bat сервер не представил корневой сертификат в сессии» возникла вследствие активности антивируса (например, «Avast»). Такое возможно потому, что антивирус (особенно «Avast» версии 8 и выше) проверяет почту на SSL-шифрование, а программа «The Bat!» не может распознать данный процесс, и сертификат и «уходит» в ошибку.

Возникает данный сбой из-за того, что хранилища сертификатов у программы и операционной системы разные, и после установки (или запуска) некой программы, ранее неизвестной «The Bat!», программа просто «отказывается» от работы с непроверенными источниками.

Для решения требуется просто добавить сертификат издателя в список доверенных:

• для начала необходимо «добыть» этот самый сертификат: для этого нажмите «Win+R» и введите команду «certmgr.msc» — откроется служба «Сертификаты»;

• — в разделе «Доверенные корневые сертификаты» найдите тот, где фигурирует «avast» в первом или во втором столбце, после чего скопируйте (импортируйте) его на рабочий стол или в любую другую папку;
• — теперь в самой программе откройте вкладку «Ящик» — «Свойства» — «Общие сведения»;
• — в открывшемся окне нужный вам параметр — это четвёртая вкладка «Сертификаты»: нажмите кнопку «Импортировать», после чего из списка выберите сохраненный ранее сертификат «Avast» и нажмите на кнопку «Добавить к доверенным».

Вот, собственно, все рабочие способы решения данной ошибки. Стоит обратить пристальное внимание на способ «2»: в большинстве случаев именно он помогает исправить программный сбой с сообщением «сервер не предоставил корневой сертификат в сессии the bat».

В завершение стоит остановиться на достоинствах программы «The Bat!», коих немало. Например:

Источник

Настройка шифрования почты в The Bat.

The Bat поддерживает две технологии защиты информации: PGP и PKI (S/MIME). В этой статье речь пойдет только о технологии PKI (S/MIME).

Подразумевается, что сертификат для шифрования почты уже получен.

Загружаем Bat, открываем настройки шифрования в меню Свойства -> Настройки S/MIME и TLS…
Здесь перед нами встает выбор: использовать внутреннюю реализацию S/MIME или Microsoft CryptoAPI.
При выборе внутренней реализации сертификаты будут находиться в хранилище Bat. Импорт/экспорт сертификатов будет осуществляться через интерфейс Bat. Также для корректной работы потребуется импорт корневых сертификатов и внесение их в список доверенных.
При выборе Microsoft CryptoAPI используется хранилище сертификатов Windows. Импорт/экспорт осуществляется через стандартные процедуры операционной системы. Лично я считаю этот вариант более удобным.
Однако, если вы работаете в Windows XP, и вам нужен максимальный уровень безопасности, в этом случае следует использовать криптопровайдер Bat. Он обеспечивает лучший набор алгоритмов шифрования по сравнению с стандартным Microsoft Enhanced Cryptographic Provider v1.0 (доступны алгоритмы AES 128 и 256-бит). В Vista добавлена встроенная поддержка AES, поэтому данная рекомендация относиться только к XP.

Для начала рассмотрим настройку с помощью Microsoft CryptoAPI (Win XP).

Использование Microsoft CryptoAPI

В списке криптопровайдеров выбираем Microsoft Enhanced Cryptographic Provider v1.0 (как обеспечивающий наилучшее шифрование). В списке также присутствует Microsoft Enhanced RSA and AES Cryptographic Provider (Prototype), однако, с его помощью зашифровать письмо у меня не получилось (вместо AES 256-бит, письмо зашифровывалось алгоритмом RC2). Использовать это криптопровайдер не рекомендую.
Алгоритм шифрования: 3DES.
Хеш-алгоритм подписи: SHA-1.
Отмечаем опции “Помнить связи e-mail адресов с сертификатами для подписи” и “Помнить связи e-mail адресов с сертификатами для шифрования”.

Импорт сертификата из подписанного письма.
Выделяем письмо, далее в меню Инструменты -> Криптография и безопасность -> Импортировать ключ (сертификат).
Откроется мастер импорта сертификатов. Нажимаем Далее. В следующем окне оставляем выбранной опцию “Автоматически выбрать хранилище на основе типа сертификата” и Далее. Если появится предупреждение об импорте корневого сертификата, нажимаем Да, затем Готово.
Теперь по указанному в сертификате адресу можно отправлять зашифрованные письма.

Настройка шифрования с помощью внутреннего криптопровайдера Bat.

Использование внутреннего криптопровайдера Bat

Алгоритм шифрования выбираем: AES (256-бит).
Хеш-алгоритм подписи: SHA-1.

Следующий этап – импорт сертификата вашего почтового ящика в хранилище Bat. Если вы следовали предыдущей статье, то ваш сертификат находится в хранилище Windows из которого его надо предварительно экспортировать. Если же у вас уже есть файл сертификата в формате PKCS#12 (.PFX), то вы можете сразу перейти к разделу Импорт сертификата.

Экспорт сертификата
Открываем Панель управления -> Свойства обозревателя -> вкладка Содержание -> кнопка Сертификаты
Переходим на закладку Личные, выделяем нужный сертификат, нажимаем кнопку Экспорт.
Откроется мастер экспорта сертификатов. Нажимаем Далее. В следующем окне необходимо выбрать опцию “Да, экспортировать закрытый ключ”, нажимаем Далее.
Выбор формата файла сертификата. Оставляем значения по умолчанию: файл обмена личной информацией – PKCS#12 (.PFX), опция “Усиленная защита” включена. Нажимаем Далее.
Вводим пароль закрытого ключа. Этот пароль будет запрашиваться каждый раз при доступе к закрытому ключу. Т.е. каждый раз при расшифровке/зашифровке письма (учтите это). Можно ввести пустой пароль, но это сильно понизит уровень безопасности.
Далее выбираем имя и расположение экспортируемого файла. Нажимаем Далее и затем Готово.

Импорт сертификата
Открываем Адресную книгу и создаем контакт для СВОЕГО адреса e-mail. Если включен внутренний криптопровайдер Bat, то в адресной книге будет доступна вкладка Сертификаты. Открываем ее и нажимаем кнопку Импортировать. Выбираем сохраненный сертификат. Появится окно для ввода пароля закрытого ключа:

Импорт сертификата в хранилище Bat

Вводим пароль. Появится похожее окно, в него опять вводим тот же пароль. После этого в списке сертификатов должен появится новый сертификат.

Теперь двойным щелчком открываем его. Если в сведениях о сертификате будет надпись – “Этот S/MIME сертификат недействителен”, в этом случае необходимо добавить корневой сертификат в список доверенных. Для этого открываем вкладку Путь сертификации:

Добавление корневого сертификата в список доверенных

Выделяем корневой сертификат (в примере AAA Certificate Services) и нажимаем кнопку Добавить к доверенным. На вопрос, действительно ли мы хотим это сделать, отвечаем Да.
На этом импорт сертификата завершен.

Импорт сертификата из подписанного письма.
Выделяем письмо, далее в меню Инструменты -> Криптография и безопасность -> Импортировать ключ (сертификат). После этого появится сообщение о количестве импортированных сертификатов (может быть более одного, если импортируются отсутствующие вышестоящие сертификаты). Сертификаты автоматически добавляются к существующим контактам в адресной книге. Если адрес e-mail не был заведен, то соответствующий ему контакт будет создан автоматически. Для некоторых сертификатов может потребоваться процедура добавления корневого сертификата в список доверенных. В этом случае выполняем описанную выше процедуру.

Теперь мы готовы к отправке подписанных и/или зашифрованных сообщений.

Зашифровать/подписать письмо можно с помощью соответствующих кнопок на панели инструментов в окне создания письма.
Расшифровка письма/проверка подлинности подписи выполняется с помощью значка в виде письма в правом верхнем углу окна просмотра сообщения.

Странность Bat.
Я так и не нашел где можно узнать с помощью какого алгоритма зашифровано письмо… Непонятно…

Источник

Исправляем ошибку «Сервер не представил корневой сертификат» в The Bat!

Как любой сложный программный продукт продукт, The Bat! отнюдь не застрахован от редких сбоев в работе. Одной из таких неисправностей является ошибка «Неизвестный сертификат CA», способы устранения которой мы и рассмотрим в данной статье.

Как исправить ошибку «Неизвестный сертификат CA»

Наиболее часто с ошибкой «Неизвестный сертификат CA» пользователи сталкиваются после переустановки операционной системы Windows при попытке получить почту по безопасному протоколу SSL.

Полное описание неполадки гласит о том, что корневой SSL-сертификат не был представлен почтовым сервером в текущей сессии, а также об отсутствии такового в адресной книге программы.

В целом привязать ошибку к конкретной ситуации нельзя, однако ее значение абсолютно понятно: The Bat! не имеет необходимого SSL-сертификата на момент получения почты с защищенного сервера.

Основной причиной неполадки является то, что мейлер от Ritlabs использует собственное хранилище сертификатов, в то время как подавляющее большинство других программ довольствуется расширяемой базой данных Windows.

Таким образом, если по каким-либо причинам сертификат, используемый в дальнейшем The Bat!, был добавлен в Windows-хранилище, почтовый клиент никоим образом об этом не узнает и тут же «плюнет» в вас ошибкой.

Способ 1: сброс хранилища сертификатов

Собственно, данное решение является наиболее простым и понятным. Все что нам нужно — это заставить The Bat! полностью пересоздать базу данных сертификатов СА.

Однако в самой программе выполнить подобное действие не получится. Для этого нужно полностью приостановить The Bat!, а затем удалить файлы «RootCA.ABD» и «TheBat.ABD» из основного каталога почтового клиента.

Путь к данной папке можно найти в меню клиента «Свойства» — «Настройка» — «Система» в пункте «Почтовый каталог».

По умолчанию месторасположение каталога с данными мейлера таково:

Здесь «Имя_пользователя» — это название вашей учетной записи в системе Windows.

Способ 2: включение «Microsoft CryptoAPI»

Другой вариант устранения неисправности заключается в переходе на систему шифрования от Microsoft. При смене криптопровайдера мы автоматически переводим The Bat! на использование системного хранилище сертификатов и тем самым исключаем конфликты баз данных.

Реализовать вышеуказанную задачу очень просто: идем в «Свойства» — «S/MIME И TLS» и в блоке «Реализация S/MIME и сертификаты TLS» отмечаем пункт «Microsoft CryptoAPI».

Затем жмем «ОК» и перезапускаем программу для применения новых параметров.

Все эти незамысловатые действия позволят полностью предотвратить дальнейшее возникновение ошибки «Неизвестный сертификат CA» в The Bat!

Мы рады, что смогли помочь Вам в решении проблемы.

Помимо этой статьи, на сайте еще 11905 инструкций.
Добавьте сайт Lumpics.ru в закладки (CTRL+D) и мы точно еще пригодимся вам.

Отблагодарите автора, поделитесь статьей в социальных сетях.

Опишите, что у вас не получилось. Наши специалисты постараются ответить максимально быстро.

Источник

Использование Email сертификата в The Bat! )

Вы создаёте сертификат для своего почтового адреса, авторитетное доверенное третье лицо проверяет соответствие действительности введенной информации и выдаёт разрешение на использование этого сертификата. Данным сертификатом Вы подписываете каждое исходящее сообщение. При получении Вашего письма адресат видит, что письмо подписано и Ваша подпись проверенна и подтверждена третьим лицом , так называемым «центром сертификации». Теперь, если по пути письмо попытались изменить, или просто его отправляли от Вашего имени, подпись станет недействительной и получатель поймёт, что письмо не от Вас.

Общепризнанные центры сертификации, как правило платные. Общепризнанность выражается в том, что подлинность подписей на выданных ими сертификатах можно проверить по встроенным в почтовые агенты и браузеры сертификатам этих CA. Т.е. пользовательские программы доверяют им по умолчанию. Вы можете получить серверные сертификаты у общепризнанных CA – VeriSign, Thawte, GlobalSign, TrustWave, Comodo Украина, как обычно, «прощелкала» в свое время создание подобного центра сертификации 😉 Сертификаты может в принципе выпускать любая компания. Во многих случаях используются самовыданные сертификаты или сертификаты не включенных в списки доверенных CA. Главное, чтобы эти сертификаты признавались пользователями. В этом случае пользовательская программа выдает окошко с вопросом, доверяет ли пользователь этому центру сертификации. Для этого пользователям новоявленного центра сертификации необходимо пройти процедуру «Добавить данный сертификат к доверенным» или иными словами «установить корневой сертификат».

Установка Корневого сертификата (CA)

1. Скачиваем корневой сертификат
   Возможные варианты:
   • Сертификат установится автоматически ничего вас не переспрашивая
   • Сертификат установится автоматически. У вас спросят разрешение на установку
   • Сертификат Вы получите в виде файла. Сохраните его в какой то папочке.
2. Переносим корневой сертификат в программу Bat!

Почтовый ящик —> «Свойства» —> «Общие сведения» —> Кнопка «Сертификаты» —>

Закладка «Сертификаты» —> «Импортировать» —> Выберите импортируемый сертификат —>

Закладка «Сертификаты» —> «Просмотреть» —> Выберите импортированный сертификат —> Кнопка «Просмотреть» —>

Установка Email сертификата

1. Почтовый ящик —> «Свойства» —> «Общие сведения» —> Кнопка «Сертификаты» —>

Закладка «Сертификаты» —> «Импортировать» —> Выберите Ваш импортируемый сертификат —>

Закладка «Сертификаты» —> «Просмотреть» —> Выберите импортированный сертификат —> Кнопка «Просмотреть» —>

Закладка «Сертификат» —> Общие —> Нажмите кнопочку «Добавить в адресную книгу»

Цифровая подпись письма

Создайте письмо, нажмите кнопочку оптравить, введите пароль на вашу цифровую подпись — Все !

Письмо будет подписано и адресат его получит в таком виде

Установка защищенного соединения

1. Почтовый ящик —> «Свойства» —> «Транспорт» —> Поле «Соединение» —> «Secure to dedicated port (TSL)» (465)
2. Почтовый ящик —> «Свойства» —> «Транспорт» —> Кнопка «Authentication» для получения почты устанавливаем MD5 APOP

Copyright © 1997-2021 adgrafics

Источник