Нотатка. Django. E-mail. User Certificate. EmailBackend.

Для відправлення листів електронною поштою на певних поштових системах потрібно застосовувати свій персональний сертифікат користувача, у парі з закритим ключем.

Властивості сертифіката для підключення клієнта

Але, пробуючи відправити листа у Django з'ясував що листи не відправляються з помилкою:

SSLCertVerificationError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: unable to get local issuer certificate (_ssl.c:1000)')

Аналізуючи приклад з прямим надсиланням email через smtplib, з'ясував - що працює відправлення коли контекст створений з використанням purpose  = ssl.Purpose.SERVER_AUTH.

nginx як проксі для серверів pop3, imap. Додаткова авторизація через ssl client, та блокування у fail2ban.

Задача

Є задача підключити nginx як ssl proxy для служб електронної пошти, з перевіркою авторизації у nginx. Використання nginx дозволить використати сучасні ssl сертифікати, у випадку коли поштові сервіси не можуть це зробити за певних умов. Наприклад коли необхідна додаткова перевірка авторизації через сертифікати ssl клієнта. 

Додаткова авторизація через SSL client certificate.

Для підтримки авторизації через SSL client certificate сторона сервера посилає додатковий запит клієнту на те що очікує від нього особистого сертифікату. Запит описує чи має бути відновіть від клієнта з особистим сертифікатом клієнту обов'язковим чи за бажанням. Надалі клієнт надсилає, а сервер перевіряє отриманий особистий сертифікат клієнту чи був він виданий певним центром сертифікації (CA) та чи він не був відкликаний, або не слив термін придатності. На цьому перевірка закінчена, будь який дійсний сертифікат виданий центром сертифікації (CA) буде прийнятним для сервера.

pfSense remove empty password from certificates pkcs12

Коли у pfSense експортуєш сертифікат користувача у форматі pkcs12, наприклад для використання авторизації WiFi EAP то у він експортується захищеним паролем котрий є пустим.

Але деякі мобільні пристрої не можуть імпортувати сертифікати з таким пустим паролем, він мусить бути.

Пароль мусить бути

Тому можна перекодувати .p12 такими командами

openssl pkcs12 -in userz.p12 -nodes -out temp.pem
openssl pkcs12 -export  -in temp.pem  -out userz-p.p12
rm temp.pem

Де:  userz.p12 - вхідний файл, userz-p.p12 - вихідний файл з паролем
На перший запит пароля вводимо Enter, на інші необхідний новий відомий Вам пароль.

Запити паролів

Оновлення ключів SSL KeyStore (JAVA)

Для керування шифрованого з'єднання в програмі OpenMeeting використовується інструмент keytool.

Створення приватного ключа  запиту для сервера сертифікації та встановлення описано у попередній публікації. 
Пройшов час, рік,  потрібно встановити оновленні сертифікати.
Перегляд усіх сертифікатів сховища з файлу /usr/lib/red5/conf/keystore.

keytool -list -keystore  /usr/lib/red5/conf/keystore

Використання само підписаного сертифікату на стороні поштового клієнта

Проблема

Якщо використовувати на поштовому сервері само підписаний сертифікат та використовувати шифроване з'єднання SSL/TLS, то можливі проблеми підключення клієнтських поштових програм. Наприклад, якщо використовувати програму "Ritlabs The Bat!", та в налаштуваннях використовувати механізм Microsoft CryptoAPI (Рис. 1), то можуть бути проблеми позначені на  (Рис. 2) - відмова прийняття само підписаного сертифікату.

Рис. 1. The Bat!, механізм Microsoft CryptoAPI