CommuniGate प्रो निजी कुंजी और वेब एपीआई

विभिन्न प्रक्रियाओं के कारण, अब लगभग सभी ने आयात प्रतिस्थापन के रूप में ऐसी चीज के बारे में सुना है। विशेष रूप से, अब आयातित एमएस एक्सचेंज उत्पाद को सक्रिय रूप से एक एकल कील * कम्युनिट प्रो के बिना देशी रूसी द्वारा प्रतिस्थापित किया जा रहा है। यदि मेरे सहकर्मियों को समय मिलता है, तो मुझे लगता है कि वे क्लस्टर, लोडिंग और माइग्रेशन के बारे में बहुत कुछ बता सकते हैं, लेकिन मैं आपको एक चिलिंग ब्लड बताना चाहता हूं, लेकिन इस अद्भुत उत्पाद में प्रमाणपत्रों को नवीनीकृत करने की राष्ट्रीय विशेषताओं के बारे में बहुत कम व्यापक कहानी।

दरअसल, एक संक्षिप्त पृष्ठभूमि। मेरे पास एक कोठरी में एक छोटा लैपटॉप है जिस पर हाल ही में विंडोज + hMailServer के एक समूह में मेल सर्वर गुलजार था। स्वाभाविक रूप से, आयात प्रतिस्थापन के आधार पर, मैं जानना चाहता था कि कम्युनिट प्रो को करीब से जाना, सौभाग्य से, यह आवश्यकताओं में बहुत मामूली है और कुछ पैमानों पर मुक्त है:

हम पाँच प्रयोजनों के लिए और छोटी परियोजनाओं (कंपनियों) में उपयोग के लिए मुफ्त में कम्युनिजीट प्रो का पूर्ण संस्करण प्रदान करते हैं।

अधिग्रहण हमारे बारे में अनुभाग में शुरू किया जा सकता है। यह बहुत स्पष्ट रूप से वहां दिखाई दे रहा है कि 1997 में मील का पत्थर "पहला रिलीस" पहुंच गया था, मार्केटर्स स्टालकर, इंक ने 2004 तक केवल "रिलीज़" शब्द लिखना सीखा, और वे अभी भी रूसी साइट के लिए रूसी-भाषा विपणन सामग्री बनाने में सक्षम नहीं हैं।



उत्पाद को स्थापित करना (मैंने इसे CentOS 7 पर स्थापित किया) किसी भी कठिनाई का कारण नहीं था, इस अवसर को लेते हुए, मैंने वहां सर्टिफिकेट डाला, लेट्स एनक्रिप्ट से प्रमाणपत्रों को खराब कर दिया और सामान्य तौर पर, सब कुछ शुरू हुआ।
3 महीने के बाद, प्रमाण पत्र योजना के अनुसार समाप्त हो गए और उन्हें बदलने का समय आ गया।

तब मुझे पता चला कि विंडोज टेलनेट क्लाइंट के लिए एक बहुत ही अप्रत्याशित प्रतिस्थापन में लाया गया है:



सर्टिबोट टूल्स का उपयोग करने वाला प्रमुख उत्थान उबाऊ था, मैं प्रसन्न था, शायद, dns1.yandex.ru सर्वर के साथ, जिसने एक घंटे के लिए या तो आउटडेटेड या अपडेट किए गए टैक-रिकॉर्ड _acme-Challenge को बाहर कर दिया, जिसके कारण मैं केवल तीसरे प्रयास पर प्रमाण पत्र बनाने में सक्षम था। ।
और फिर जादू शुरू हुआ।

कम्युनिट सर्वर के पास कुंजी जोड़ी को इंटरफ़ेस के माध्यम से एक नए के साथ बदलने की क्षमता नहीं है, आपको पहले पुरानी कुंजी जोड़ी को हटाना होगा:



एक जागरूक लोकलहोस्ट होस्ट एडमिन के रूप में, मैंने केवल ssl के माध्यम से प्रमाणीकरण चालू किया और सुरक्षित रूप से इसके बारे में भूल गया, इसलिए कुंजी जोड़ी को हटाने के बाद सर्वर ने मेरे साथ संवाद करने से इनकार कर दिया:



मैंने /var/CommuniGate/Accounts/postmaster.macnt/account.settings फ़ाइल में इस पंक्ति को जोड़कर पैरानॉयड सर्वर को बुझा दिया:
RequireAPOP = NO;
लेकिन, तलछट, निश्चित रूप से बनी रही। स्वाभाविक रूप से, मैं स्क्रिप्ट के लिए एक बटन बनाना चाहता था ताकि कुंजी स्क्रिप्ट को इस स्क्रिप्ट के एक रन के साथ बदल दिया जाए, और उपयोगकर्ता सेटिंग्स के अनुसार हलकों में न घूमें।

कम्युनिटेट में स्वचालन उपकरण चार इंटरफेस के रूप में कई में मौजूद हैं: टीसीपी कनेक्शन (पीडब्ल्यूडी), सीएलआई.पीएम पर्ल मॉड्यूल (सीजी / पीएल), सरल वेब अनुरोध और एक्सआईएमएस के माध्यम से पाठ संचार।

विभिन्न कारणों से (ज्यादातर आलस्य, निश्चित रूप से), मैंने वेब अनुरोधों को चुना।

शुरुआत से ही, कुछ गलत हुआ:

 [root@mx ~]# curl -u postmaster:password -k 'https://127.0.0.1:9100/cli/getdomainsettings' [root@mx ~]# 

जैसा कि यह निकला, मैंने असंगत रूप से प्रलेखन पढ़ा, मुझे इसे इस तरह करना था:

 [root@mx ~]# curl -u postmaster:password -k 'https://127.0.0.1:9100/cli/?command=getdomainsettings' {CAChain=[---];CertificateType=YES;ClientCertCA="Let's Encrypt Authority X3";ClientIPs="";DKIMenabled=YES;DKIMkey=[---DKIM];DKIMselector=dkim;DomainComment="";IPMode="All Available";PrivateSecureKey=[---];SecureCertificate=[--];TrustedCertificates=();} 

फिर कुछ गलत हुआ:

 [root@mx ~]# curl -u postmaster:password -k 'https://127.0.0.1:9100/cli/?command=getdomainsettings&domainName=test' {CAChain=[---];CertificateType=YES;ClientCertCA="Let's Encrypt Authority X3";ClientIPs="";DKIMenabled=YES;DKIMkey=[---DKIM];DKIMselector=dkim;DomainComment="";IPMode="All Available";PrivateSecureKey=[---];SecureCertificate=[--];TrustedCertificates=();} 

मैं घटनाओं के इस मोड़ से हैरान था और विक्रेता के समर्थन में बदल गया।

एक विज्ञापन के रूप में।

हां, उनके पास एक चैट रूम है। और विशेषज्ञ भी इसमें जवाब देते हैं। बिना किसी कॉर्पोरेट सब्सक्रिप्शन के भी।

जैसा कि यह निकला, http अनुरोध नामांकित मापदंडों को नहीं समझता है। केवल स्थितीय, केवल कट्टर:

 [root@mx ~]# curl -u postmaster:password -k 'https://127.0.0.1:9100/cli/?command=getdomainsettings%20test' {} [root@mx ~]# 

परीक्षण डोमेन, अपने नाम के अनुसार पूर्ण रूप से, एक परीक्षण डोमेन है, इसलिए इसमें कोई सेटिंग्स नहीं हैं।
फिर मैंने परिचय दिया कि मैं URL में एक प्रमाणपत्र कैसे एम्बेड करूंगा, और यह तय किया कि मुझे इसके बारे में कुछ करने की आवश्यकता है। उदाहरण के लिए, डेटा स्थानांतरण के लिए धूम्रपान करने वाले के GET अनुरोध के बजाय स्वस्थ व्यक्ति के POST अनुरोध का उपयोग करें:

 [root@mx ~]# curl -u postmaster:password -k 'https://127.0.0.1:9100/cli/' --data-urlencode 'command=getdomainsettings test' {} [root@mx ~]# 

खैर, अभी तक सब कुछ योजना के अनुसार चल रहा है।

आइए Encrypt वहां से निर्देशिका /etc/letsencrypt/live/domain.my/ में अपने खजाने को रखता है और हम उन्हें प्राप्त करेंगे।

Getdomainsettings अनुरोध में थोड़ा अधिक है, मैंने देखा कि निजी कुंजी PrivateSecureKey फ़ील्ड में निहित है, और अधिक क्या है, यह काटे गए शीर्ष लेख और पाद लेख के साथ वहां निहित है, और बाकी सब कुछ एक पंक्ति में विलय हो गया है। आइए इसे आयात करने का प्रयास करें।

 [root@mx ~]# curl -u postmaster:password -k 'https://127.0.0.1:9100/cli/' --data-urlencode "command=updatedomainsettings test {PrivateSecureKey=[`grep -v '\-\-' /etc/letsencrypt/live/domain.my/privkey.pem | tr -d '\n'`];}" <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml" xml:lang="ru" lang="ru" dir="ltr"> <head> <meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> <title> domain.my</title> <link rel="stylesheet" href="/SkinFiles/domain.my/Pronto/style.css" type="text/css" /> <meta http-equiv="x-dns-prefetch-control" content="off" /> <meta name="referrer" content="no-referrer" /> </head> <body background="/SkinFiles/domain.my/Pronto/bodybgcolor.gif"> <form method="post" enctype="multipart/form-data"> <input type="hidden" name="FormCharset" value="utf-8" /> <table width="100%" border="0" cellspacing="0" cellpadding="0"> <tr><td height="25"> </td></tr> <tr valign="middle"><td align="center" bgcolor="#ffcccc" class="externalError">private key data is corrupted</td></tr> </table> </form> </body> </html> [root@mx ~]# 

उह ... अच्छा ... मुझे इसकी उम्मीद नहीं थी।

मैंने सोचा कि यह एक सर्टिफिकेट था, एक निजी कुंजी के बजाय, मैंने कुछ अजीब फिसल दिया, फ़ाइल की सामग्री को बाहर निकाला:

 [root@mx ~]# cat /etc/letsencrypt/live/domain.my/privkey.pem -----BEGIN PRIVATE KEY-----     -----END PRIVATE KEY----- [root@mx ~]# 

और वेब इंटरफेस के माध्यम से डाला:



अचानक, सब कुछ ठीक हो गया:



मैंने कुंजी को हटा दिया और इसे HTTP अनुरोध के साथ फिर से आयात करने का प्रयास किया। कोई चमत्कार नहीं हुआ, निजी कुंजी डेटा अभी भी दूषित हो गया है ।

हैरान, मैं फिर से तकनीकी सहायता खरगोश से मिलने गया । तकनीकी सहायता ने कहा कि आपको निजी कुंजी फ़ाइल से शीर्ष लेख और पाद लेख को काटने और परिणाम को एक पंक्ति में संयोजित करने की आवश्यकता है। जब मैंने पूछा कि क्या मैंने इस आदेश के साथ सब कुछ ठीक किया है:

 grep -v '\-\-' /etc/letsencrypt/live/domain.my/privkey.pem | tr -d '\n' 

सहायता अधिकारी ने उत्तर दिया कि वह grep का विशेषज्ञ नहीं था और उसे पता नहीं था।

संवाद की प्रक्रिया में, मैंने पाया कि अगर मैं getdomainsettings अनुरोध के साथ पुरानी कुंजी को बाहर निकालता हूं, तो HTTP अनुरोध इसे सामान्य रूप से आयात करता है, मैंने फैसला किया कि मेरा grep | tr ने कुछ फालतू में काट दिया, और Stalker के चैट रूम को अलविदा कह दिया।

हालाँकि, यह इतना सरल नहीं था। निजी कुंजी को मैन्युअल रूप से साफ़ करने के बाद, मैंने पाया कि यह वैसे भी आयात नहीं किया गया था।

यहाँ मैं एक अंतिम गतिरोध में भटक गया।

इस घटना से पीड़ित होने के बाद, मैंने सब कुछ मैन्युअल रूप से थूकने और करने का फैसला किया, वेब इंटरफेस के माध्यम से निजी कुंजी को आयात किया ... और अंत में मैंने एक getdomainsettings अनुरोध किया। अचानक, यह पता चला कि कम्युनिट मुझे वापस नहीं कर रहा था जो मैंने उसे खिलाया था। इसके अलावा, सफाई के बाद लेट्स एनक्रिप्ट निजी कुंजी 1624 वर्ण लंबा था, और मुझे जो पता चला था, वह केवल 1592 लंबाई का था।

मैं इस तरह के मोड़ के लिए तैयार नहीं था और ओपनसेल में चढ़ गया। पहला शॉट निशाने पर लगा:

 [root@mx ~]# openssl rsa -in /etc/letsencrypt/live/domain.my/privkey.pem writing RSA key -----BEGIN RSA PRIVATE KEY-----   ,  ,     -----END RSA PRIVATE KEY----- [root@mx ~]# 

हुर्रे, मिशन पूरा किया।

हमें प्रमाणपत्रों के साथ नृत्य की आवश्यकता नहीं है, वे सिर्फ एक पाद लेख के साथ हेडर काटते हैं और बचे हुए को एक पंक्ति में जोड़ दिया जाता है।

कुल मिलाकर, अंतिम परिणाम मेरे लिए इस तरह दिखता है:

 curl --user postmaster:password -k 'https://127.0.0.1:9100/cli/' --data-urlencode "command=updatedomainsettings domain.my {SecureCertificate=[`grep -v '\-\-' /etc/letsencrypt/live/domain.my/cert.pem | tr -d '\n'`];PrivateSecureKey=[`openssl rsa -in /etc/letsencrypt/live/domain.my/privkey.pem 2> /dev/null | grep -v '\-\-' | tr -d '\n'`];CAChain=[`grep -v '\-\-' /etc/letsencrypt/live/domain.my/chain.pem | tr -d '\n'`];}" 

चूंकि यूनिक्स-शेल मेरा मूल वातावरण नहीं है, इसलिए मैं अनुकूलन की बहुत सराहना करूंगा।

खैर, और आप कभी नहीं जानते हैं, अचानक किसी को मेरी आवश्यकता होगी, मैं इसे Google नहीं कर सकता।

* कम्युनिस्ट प्रो में नाखून वास्तव में नहीं पाए गए