Я генерировал самоподписанный центр сертификации с помощью mydomain.org в качестве общего названия. Я импортировал общедоступный сертификат с помощью менеджера по сертификату Thunderbird под вкладкой "Authorities".Пока все хорошо.
Затем с помощью этого CA, я генерировал (и подписался), сертификат для mail.mydomain.org, но даже при том, что я импортировал CA, я продолжаю добираться, "Добавьте Исключение безопасности" всплывающее окно с сообщением "Неизвестные Идентификационные данные", когда я пытаюсь соединиться впервые. Вот снимок экрана, который иллюстрирует ситуацию:
Примечание: И CA и почтовый сертификат подписываются с помощью "SHA-1 С шифрованием RSA".
Примечание 2: Я понимаю, что должен получить сертификат от доверяемых полномочий, это - временное решение.
Таким образом, мои вопросы:
1) Действительно ли это поведение нормально?
2) Как я "убеждаю" Thunderbird, что всем сертификатам, подписанным моим CA, доверяют?
ОБНОВЛЕНИЕ
% openssl s_client -connect mail.mydomain.org:993
CONNECTED(00000003)
depth=1 <snip> CN = mydomain.org, <snip>
verify error:num=19:self signed certificate in certificate chain
verify return:0
---
Certificate chain
0 s:/<snip>/CN=mail.mydomain.org/<snip>
i:/<snip>/CN=mydomain.org/<snip>
1 s:/<snip>/CN=mydomain.org/<snip>
i:/<snip>/CN=mydomain.org/<snip>
---
Server certificate
-----BEGIN CERTIFICATE-----
<BASE64>
-----END CERTIFICATE-----
subject=/<snip>/CN=mail.mydomain.org/<snip>
issuer=/<snip>/CN=mydomain.org/<snip>
---
No client certificate CA names sent
---
SSL handshake has read 2807 bytes and written 567 bytes
---
New, TLSv1/SSLv3, Cipher is AES256-SHA
<long apparently irrelevant output snipped>
Verify return code: 19 (self signed certificate in certificate chain)
---
* OK [CAPABILITY IMAP4rev1 UIDPLUS CHILDREN NAMESPACE THREAD=ORDEREDSUBJECT THREAD=REFERENCES SORT QUOTA IDLE AUTH=PLAIN ACL ACL2=UNION] Courier-IMAP ready. Copyright 1998-2011 Double Precision, Inc. See COPYING for distribution information.
У меня была такая же проблема. Источником в моем случае был CA не был создан с -расширениями v3_ca
, о которых Firefox не заботится, но Thunderbird, похоже, требует "действительной" подписи