証明書の信頼できる機関である StartSSL から発行された証明書があり、私のWebサイトはその証明書で問題なく動作し、信頼の問題についてすべてのブラウザーから苦情がありません。
今度は、同じものをDovecotでプログラムして、認定されたSSLで電子メールを受信できるようにしたいと思いました。そのため、私はIMAPを使用してメールを取得します。 StartSSLにアクセスし、そのサブドメインの証明書を発行しました(これは、Apacheサーバーを介してSSLで取得したいサブドメインを取得するために常に行うことです)。
次に、その証明書を取得し、dovecot.conf
に以下を追加して、Dovecotで(SNIを使用して)そのドメイン名に使用する証明書として定義しました。
local_name mail.myweb.com {
ssl_cert = </path/to/certificate/ssl.crt
ssl_key = </path/to/privatekey/priv.key
}
このプロセスはApacheサーバーで完全に正常に機能し、証明書に署名の問題がない緑色の南京錠でブラウザーを満足させますが、Thunderbirdはこの証明書を例外として確認するように主張しました。
証明書の詳細を調べて、Thunderbirdが受信している証明書が正しいことを確認しました。
その理由は何でしょうか? Thunderbirdは単なる妄想であり、証明書を購入する必要がありますか?
追加情報が必要な場合は、お知らせください。
ありがとうございました。
おそらく中間証明書がありません。
AFAIK Dovecotには、たとえばApacheのようにチェーン証明書オプションがありません。中間証明書を、公開証明書を使用して1つのファイルに連結する必要があります。
http://www.startssl.com/certs/ (おそらくsub.class1.server.ca.pem)から正しい中間証明書を取得し、次に例を示します。
cp /path/to/certificate/ssl.crt dovecot.crt
cat sub.class1.server.ca.pem >> dovecot.crt
HBruijnによる回答に加えて、そのように作成された証明書をWebmin/Virtualminにインストールしても機能しないことを共有したいと思います(エラー:「46行目はPEM形式のようには見えません」)。この制限を回避するには、最初にドメイン証明書をインストールし、インストール後に中間証明書と連結します。