web-dev-qa-db-ja.com

DovecotSSL証明書は受け入れられません

証明書の信頼できる機関である StartSSL から発行された証明書があり、私のWebサイトはその証明書で問題なく動作し、信頼の問題についてすべてのブラウザーから苦情がありません。

今度は、同じものをDovecotでプログラムして、認定されたSSLで電子メールを受信できるようにしたいと思いました。そのため、私はIMAPを使用してメールを取得します。 StartSSLにアクセスし、そのサブドメインの証明書を発行しました(これは、Apacheサーバーを介してSSLで取得したいサブドメインを取得するために常に行うことです)。

次に、その証明書を取得し、dovecot.confに以下を追加して、Dovecotで(SNIを使用して)そのドメイン名に使用する証明書として定義しました。

local_name mail.myweb.com {
  ssl_cert = </path/to/certificate/ssl.crt
  ssl_key = </path/to/privatekey/priv.key
}

このプロセスはApacheサーバーで完全に正常に機能し、証明書に署名の問題がない緑色の南京錠でブラウザーを満足させますが、Thunderbirdはこの証明書を例外として確認するように主張しました。

証明書の詳細を調べて、Thunderbirdが受信している証明書が正しいことを確認しました。

その理由は何でしょうか? Thunderbirdは単なる妄想であり、証明書を購入する必要がありますか?

追加情報が必要な場合は、お知らせください。

ありがとうございました。

おそらく中間証明書がありません。

AFAIK Dovecotには、たとえばApacheのようにチェーン証明書オプションがありません。中間証明書を、公開証明書を使用して1つのファイルに連結する必要があります。

  1. ドメインの署名付き証明書
  2. 中間CA証明書
  3. ルートCA証明書

http://www.startssl.com/certs/ (おそらくsub.class1.server.ca.pem)から正しい中間証明書を取得し、次に例を示します。

cp /path/to/certificate/ssl.crt dovecot.crt
cat sub.class1.server.ca.pem >> dovecot.crt
6
HBruijn

HBruijnによる回答に加えて、そのように作成された証明書をWebmin/Virtualminにインストールしても機能しないことを共有したいと思います(エラー:「46行目はPEM形式のようには見えません」)。この制限を回避するには、最初にドメイン証明書をインストールし、インストール後に中間証明書と連結します。

0
simne7