web-dev-qa-db-ja.com

証明書は問題ないようですが、TLSが失敗しました(証明書が検証されていません)

https://mail.xxxx.com/ でメールサーバーの証明書を設定しました。メールサーバーのドキュメントの説明に従って証明書をエクスポートし、サーバー設定でそれをポイントしました。

証明書はすべてのテストで100%検証されるようです。発行者でさえ、すべてが正常であることを確認しました。ただし、OutlookやThunderbirdなどのメールクライアントは、無効な証明書の警告で失敗するようです。

メールアドレス[email protected]を使用している場合は、 http://www.checktls.com/ で失敗することがわかります。

    [001.838]       
Certificate 1 of 3 in chain:
subject= /OU=Domain Control Validated/OU=PositiveSSL/CN=mail.xxxx.com
issuer= /C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Domain Validation Secure Server CA                                                                                                                                                                                
[001.886]       
Certificate 2 of 3 in chain:
subject= /C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Domain Validation Secure Server CA
issuer= /C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority                                                                                                                                                                                  
[001.933]       
Certificate 3 of 3 in chain:
subject= /C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Domain Validation Secure Server CA
issuer= /C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority          Validation Secure Server CA                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            
    [003.400]       Cert NOT VALIDATED: unable to get local issuer certificate
    [003.401]       this may help: What Is An Intermediate Certificate
    [003.401]       So email is encrypted but the domain is not verified
    [005.791]       Cert Hostname VERIFIED (mail.xxxx.com = mail.xxxx.com)

編集:チェーンは2番目の証明書に移動しますが、その後繰り返します。チェーンを他の場所で見ると、正常に接続されています。

誰かが問題が何であるかを明らかにできることを願っています。

どうもありがとう

1
Fuzz

クライアントが中間証明書のコピーを提供するサーバーを探していますが、サーバーが提供していないようです。正確な構成はサーバーによって異なりますが、(CAから)中間証明書をダウンロードし、サーバー証明書と共有して、クライアントが信頼する証明書を取得できるようにする必要があります。

基本的に、クライアントはインターネットで中間証明書を検索する必要がない(または検索できない)必要があります。したがって、チェーンの各ステップを検証できるように、それらを提供する必要があります。一部のクライアントは外に出てそれらを見つけるか、すでに多くの一般的な中間証明書が含まれている場合がありますが、そうでない場合もあります。

3
AJ Henderson

チェーンが正しくないようです。証明書は3つあるようですが、すべて同じです。少なくともComodo中間証明書が不足しているようです:

CN=COMODO RSA Certification Authority.
2
martijnbrinkers