web-dev-qa-db-ja.com

Comodoを使用したPostfixSSL証明書(PostivieSSL)-「不明な権限」

Postfix/dovecotセットアップを実行しているメールサーバーに問題があります。基本的に、さまざまなセキュリティテストを実行すると、証明書を検証できないと言われます。 https:// ssl-tools。 net/mailservers/brailsford.xyz

私が利用できる証明書と関連ファイル( https://brailsford.xyz に従って有効)は次のとおりです。

  • AddTrustExternalCARoot.crt
  • brailsford_xyz.crt
  • COMODORSAAddTrustCA.crt
  • COMODORSADomainValidationSecureServerCA.crt

Crtのキーファイルbrailsford_xyz.keyもあります

Postfixでの私の設定は次のとおりです。

smtpd_tls_cert_file=/etc/ssl/certs/postfixchain.crt
smtpd_tls_key_file=/etc/ssl/private/brailsford.key
smtpd_tls_CAfile=/etc/ssl/certs/COMODORSADomainValidationSecureServerCA.crt
smtpd_use_tls=yes

ポストフィックスチェーンは、以前の3つの証明書を次の順序で組み合わせたものです。

  1. brailsford_xyz.crt
  2. COMODORSADomainValidationSecureServerCA.crt
  3. AddTrustExternalCARoot.crt

誰かが私が間違っていることとそれを修正する方法についてアドバイスできますか?

4
AviateX14

SSL証明書チェーンが完全ではない(またはリンクが欠落している)ようです。何を見てくださいopenssl s_clientメールサーバーに接続すると戻ります:

$ openssl s_client -CAfile /etc/ssl/certs/ca-certificates.crt -starttls smtp -connect brailsford.xyz:587
CONNECTED(00000003)
depth=1 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Domain Validation Secure Server CA
verify error:num=20:unable to get local issuer certificate
verify return:0
---
Certificate chain
 0 s:/OU=Domain Control Validated/OU=PositiveSSL/CN=brailsford.xyz
   i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Domain Validation Secure Server CA
 1 s:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Domain Validation Secure Server CA
   i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority
 2 s:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
   i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
---

ご覧のとおり、「/ C = GB/ST = Greater Manchester/L = Salford/O = COMODO CA Limited/CN = COMODO RSA認証局」の発行者(i)の証明書がありますが、チェーン信頼できるCA(またはさらに中間のCA)によってそのサブジェクトに発行された証明書は含まれていません。

私が知る限り、少なくともこの証明書が(チェーンの3番目のリンクとして)欠落しています: https://support.comodo.com/index.php?/Default/Knowledgebase/Article/View/ 966/108/intermediate-1-sha-2-comodo-rsa-certification-authority

それはシリアル番号27:66:ee:56:eb:49:f3:8e:ab:d7:70:a2:fc:84:de:22とSubject: C=GB, ST=Greater Manchester, L=Salford, O=COMODO CA Limited, CN=COMODO RSA Certification Authority

4
daff

あなたの指示:

smtpd_tls_CAfile=/etc/ssl/certs/COMODORSADomainValidationSecureServerCA.crt

奇妙です。おそらく、それをまったく指定したくないでしょう。クライアント証明書認証を使用している場合、クライアント証明書を発行するのはCA用です。それはあなたのチェーンのためではありません。

通常は、証明書の後に、PEM形式の各中間CA証明書を、smtpd_tls_cert_fileに連結して配置するだけで十分です。ルートを指定する必要はありません。そこで正しい証明書を使用していることを再確認してください。

Ssl-tools.netが示しているエラーは、少しわかりにくいものです。 openssls_clientを使用して問題をチェックすることを検討してください。

2
Falcon Momot