web-dev-qa-db-ja.com

証明書チェーン内の自己署名証明書

正しい証明書チェーンを構築しています。私の証明書は、StartSSLによって発行されたクラス2を発行します。

ここに私が私のssl.crtに入れたものがあります:

my cert
https://www.startssl.com/certs/ca.pem
https://www.startssl.com/certs/class2/sha1/pem/sub.class2.client.sha1.ca.pem
https://www.startssl.com/certs/class2/sha1/pem/sub.class2.server.sha1.ca.pem

(私はあなたが私がファイルを取った場所を見ることができるようにリンクを入れました)

もし私がopenssl s_client -connect multiformeingegno.it:993取得:

Verify return code: 19 (self signed certificate in certificate chain)
---
* OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE IDLE AUTH=PLAIN AUTH=LOGIN] Dovecot (Ubuntu) ready

アカウントをGmailに追加しようとすると、次のような結果になります。

"Missing +OK response upon connecting to the server: * OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE IDLE AUTH=PLAIN AUTH=LOGIN] Dovecot (Ubuntu) ready."

なぜ自己署名証明書と書かれているのですか?

2

あるレベルでは、自己署名証明書は常に証明書チェーンに表示されます。特にCA証明書の場合は、定義により自己署名されていますが、信頼されています。 StartSSL CA証明書は自己署名されているため、このメッセージが表示されます。

チェーンファイルも間違っています-クライアント証明書は必要ありません。ファイルは次の順序である必要があります。ファイルの上部から下部へ、リンクはStartSSLの同等の証明書へのリンクであり、クラス2の検証を前提としています(ドキュメントは here ):

  1. 秘密鍵(オプション)
  2. あなたの公開証明書
  3. クラス2中間証明書
  4. ルートCA証明書

ここ で説明したように、エラーは間違ったポートを使用することに起因する可能性があります。参考までに、ポート995はPOP SSL接続に使用され、ポート993はIMAP SSL( 参照 )に使用されます。

2
Craig Watson

サードパーティのpop3アカウントへのGmailアクセスを設定する場合は、imapの場合はポート995を使用し、993の場合は必ず使用してください。

SSLがインストールされて機能していることを確認するには、opensslを次のコマンドで使用できます。

openssl s_client -showcerts -connect  mail.yourserver.com:995

そして、すべてが問題なければ、opensslによって表示されるエラーメッセージはありません。

0