Назад | Перейти на главную страницу

Как обновить сертификат CAcert в CentOS, не раздражая пользователей?

На моем сервере работает GNU / Linux CentOS 5.5 + Postfix 2.3.3 + Dovecot 1.0.7.

Я получил письмо от cacert.org, в котором говорилось, что срок действия моего сертификата истекает через 45 дней, поэтому я зашел в учетную запись cacert.org, чтобы обновить сертификат, и получил что-то вроде этого:

-----BEGIN CERTIFICATE-----
MIIEnzCCAoe (...)
-----END CERTIFICATE-----

Ни на cacert.org, ни в каких поисках я не объяснял, что делать дальше. Я заменил содержимое файла сертификата этим новым сертификатом для тестирования, но когда почтовые клиенты начинают отправлять сообщение, появляется всплывающее окно:

Вы собираетесь изменить способ идентификации этого сайта Thunderbird. Законные банки, магазины и другие общедоступные сайты не будут просить вас об этом. Статус сертификата: этот сайт пытается идентифицировать себя с помощью недействительной информации.

Сертификат принадлежит другому сайту, что может указывать на кражу личных данных. Неизвестная личность. Сертификат не является доверенным, потому что он не был проверен признанным центром.

Как обновить сертификат, чтобы это всплывающее окно не доходило до конечных пользователей сейчас или после истечения срока действия сертификата?

Прежде всего вам нужно выяснить, содержит ли сертификат правильное «Общее имя». Вы можете проверить это, поместив полученный текст в файл, а затем набрав:

openssl x509 -noout -text -in / my / file

Это отобразит информацию в сертификате в удобочитаемой форме.

Если сертификат действителен для имени хоста, которое используют конечные пользователи, сертификат не должен вызывать выдачу предупреждений их клиентами. Если они это сделают, они не могут определить действительность ЦС, подписавшего сертификат. В этом случае вам может потребоваться выгрузить сертификаты CA в файл и настроить конфигурацию так, чтобы сертификаты CA также считывались. Таким образом, программное обеспечение может предоставить конечным пользователям сертификат И цепочку сертификатов ЦС.

Обратите внимание, что конечные пользователи ВСЕГДА будут получать предупреждение, если используемое ими имя хоста не совпадает с общим именем из сертификата.