У меня есть основной ssl-сертификат и связанный ssl-сертификат в одном каталоге с одинаковыми разрешениями и правами собственности. У меня есть установка Dovecot для использования этого связанного файла сертификата. Работает нормально. Если я использую основной (не связанный) сертификат, у меня есть почтовый клиент, который не может взаимодействовать с Dovecot. У меня есть Postfix, использующий первичный сертификат, и, судя по моим тестам, он, кажется, достаточно доволен этим, насколько я понимаю, у меня могут возникнуть проблемы, если я тоже не использую связанный сертификат. Есть много источников, подтверждающих это, например https://knowledge.geotrust.com/support/knowledge-base/index?page=content&id=SO17341&actp=AGENT_REFERAL
Однако, когда я изменяю Postfix для использования сертификата цепочки, он задыхается и жалуется на ошибки разрешения, которые не имеют смысла. Это отображается в моем почтовом журнале:
Oct 10 15:06:07 XXXXXXXXX postfix/submission/smtpd[31154]: warning: cannot get RSA certificate from file /usr/etc/ssl/certs/XXXXXXXX/XXXXXXXXX-chained.crt: disabling TLS support
Oct 10 15:06:07 XXXXXXXXX postfix/submission/smtpd[31154]: warning: TLS library problem: 31154:error:0200100D:system library:fopen:Permission denied:bss_file.c:398:fopen('/usr/etc/ssl/certs/XXXXXXXX/XXXXXXXXX-chained.crt','r'):
Как я уже сказал, разрешения идентичны для файла, с которым он доволен, по сравнению с этим, и у Dovecot нет такой проблемы. Что мне не хватает?
Решено. Все дело в расширении файла! Postfix отказывается использовать связанный сертификат, если он не имеет расширения .pem. К версии без цепочки он не требователен, и другие серверы не заботятся об этой детали. Слабовато ... По крайней мере, исправить безболезненно!
(Кстати, Dovecot подходит для .pem, если вы хотите быть последовательными при использовании обоих.)