DovecotSSL証明書は受け入れられません

Question

証明書の信頼できる機関である StartSSL から発行された証明書があり、私のWebサイトはその証明書で問題なく動作し、信頼の問題についてすべてのブラウザーから苦情がありません。

今度は、同じものをDovecotでプログラムして、認定されたSSLで電子メールを受信できるようにしたいと思いました。そのため、私はIMAPを使用してメールを取得します。 StartSSLにアクセスし、そのサブドメインの証明書を発行しました（これは、Apacheサーバーを介してSSLで取得したいサブドメインを取得するために常に行うことです）。

次に、その証明書を取得し、dovecot.confに以下を追加して、Dovecotで（SNIを使用して）そのドメイン名に使用する証明書として定義しました。

local_name mail.myweb.com { ssl_cert = </path/to/certificate/ssl.crt ssl_key = </path/to/privatekey/priv.key }

このプロセスはApacheサーバーで完全に正常に機能し、証明書に署名の問題がない緑色の南京錠でブラウザーを満足させますが、Thunderbirdはこの証明書を例外として確認するように主張しました。

証明書の詳細を調べて、Thunderbirdが受信している証明書が正しいことを確認しました。

その理由は何でしょうか？ Thunderbirdは単なる妄想であり、証明書を購入する必要がありますか？

追加情報が必要な場合は、お知らせください。

ありがとうございました。

HBruijn · Accepted Answer

おそらく中間証明書がありません。

AFAIK Dovecotには、たとえばApacheのようにチェーン証明書オプションがありません。中間証明書を、公開証明書を使用して1つのファイルに連結する必要があります。

ドメインの署名付き証明書
中間CA証明書
ルートCA証明書

http://www.startssl.com/certs/ （おそらくsub.class1.server.ca.pem）から正しい中間証明書を取得し、次に例を示します。

cp /path/to/certificate/ssl.crt dovecot.crt cat sub.class1.server.ca.pem >> dovecot.crt

simne7 · Answer

HBruijnによる回答に加えて、そのように作成された証明書をWebmin/Virtualminにインストールしても機能しないことを共有したいと思います（エラー：「46行目はPEM形式のようには見えません」）。この制限を回避するには、最初にドメイン証明書をインストールし、インストール後に中間証明書と連結します。