У нас есть собственный центр сертификации, подписавший этот сертификат. Публичный сертификат нашего центра сертификации находится в / etc / ssl / certs на сервере. Похоже, что Courier не доверяет сертификату CA и не находит его?
Я добавил ЦС в / usr / share / ca-Certificates / и запустил ~ sudo dpkg-reconfigure ca-сертификаты ~, добавив его клиенту. Без изменений.
Это мой разговор с Courier с удаленного клиента:
openssl s_client -connect mail.mycompany.com:995
+OK Hello there. USER me@mycompany.com +OK Password required. PASS 12345 +OK logged in. LIST +OK POP3 clients that break here, they violate STD53. . RETR RENEGOTIATING depth=0 /C=US/ST=State/L=My City/O=mycompany, Inc/OU=Mail Server/CN=mail.mycompany.com/emailAddress=me@mycompany.com verify error:num=20:unable to get local issuer certificate verify return:1 depth=0 /C=US/ST=State/L=My City/O=mycompany, Inc/OU=Mail Server/CN=mail.mycompany.com/emailAddress=me@mycompany.com verify error:num=27:certificate not trusted verify return:1 depth=0 /C=US/ST=State/L=My City/O=mycompany, Inc/OU=Mail Server/CN=mail.mycompany.com/emailAddress=me@mycompany.com verify error:num=21:unable to verify the first certificate verify return:1
Как заставить Courier использовать сертификат? Или это проблема клиента?
Обновить: Добавление общедоступного сертификата ЦС в файл .pem (ключ почтового сервера + сертификат почтового сервера + сертификат CA) удаляет предыдущие ошибки и заменяет их на:
verify error:num=19:self signed certificate in certificate chain
Я не знаю, является ли это шагом в правильном направлении или нет. Насколько я понимаю, публичный сертификат CA является самозаверяющим сертификатом, но как избавиться от ошибки?
Это проблема клиента.
c_rehash /etc/ssl/certs/
openssl s_client -CApath /etc/ssl/certs -connect mail.mycompany.com:995
или:
openssl s_client -CAfile /path/to/rootca.pem -connect mail.mycompany.com:995