web-dev-qa-db-ja.com

ユーザーを煩わせることなくCentOSでCAcert証明書を更新するにはどうすればよいですか?

私のサーバーはGNU/Linux CentOS 5.5 + Postfix 2.3.3 + Dovecot1.0.7を実行しています。

Cacert.orgから、証明書が45日で期限切れになるように設定されているというメールを受け取ったので、cacert.orgアカウントにアクセスして証明書を更新し、次のようなものを受け取りました。

 ----- BEGIN CERTIFICATE ----- 
 MIIEnzCCAoe(...)
 ----- END CERTIFICATE ----- 

Cacert.orgも私が行った検索も、次に何をすべきかを説明していません。テスト用に証明書ファイルの内容をこの新しい証明書に置き換えましたが、電子メールクライアントがメッセージを送信し始めると、ポップアップに次のように表示されます。

Thunderbirdがこのサイトを識別する方法を上書きしようとしています。正規の銀行、店舗、およびその他の公開サイトでは、これを行うように求められることはありません。証明書のステータス:このサイトは、無効な情報で自分自身を識別しようとします。

証明書は別のサイトに属しており、個人情報の盗難を示している可能性があります。 Unkonwnアイデンティティ。証明書は、承認された機関によって検証されていないため、信頼されていません。

このポップアップがエンドユーザーに届かないように、または証明書の有効期限が切れた後に、証明書を更新するにはどうすればよいですか?

1
HelpfulPanda

まず、証明書に正しい「共通名」が含まれているかどうかを確認する必要があります。これを確認するには、取得したテキストをファイルに入れて、次のように入力します。

openssl x509 -noout -text -in/my/file

これにより、証明書内の情報が人間が読める形式で表示されます。

証明書がエンドユーザーが使用するホスト名に対して有効である場合、証明書によってクライアントが警告を発行することはありません。その場合、証明書に署名したCAの有効性を判断できません。その場合、ファイル内のCA証明書を取り出し、CA証明書も読み取られるように構成を調整する必要がある場合があります。このようにして、ソフトウェアはエンドユーザーに証明書とCA証明書チェーンを提供できます。

エンドユーザーは、使用するホスト名が証明書の共通名と一致しない場合、常に警告を受け取ることに注意してください。

2
Cheatah