Вопросы Теги

Сам подписанный сертификат в цепочке сертификата

У меня есть создание корректной цепочки сертификата. Моя проблема сертификата класс 2, выпущенный StartSSL.

Здесь в порядке, что я вставил свой ssl.crt:

my cert
https://www.startssl.com/certs/ca.pem
https://www.startssl.com/certs/class2/sha1/pem/sub.class2.client.sha1.ca.pem
https://www.startssl.com/certs/class2/sha1/pem/sub.class2.server.sha1.ca.pem

(Я поместил ссылки, чтобы позволить Вам видеть, где я взял файлы),

Если я делаю a openssl s_client -connect multiformeingegno.it:993 Я добираюсь:

Verify return code: 19 (self signed certificate in certificate chain)
---
* OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE IDLE AUTH=PLAIN AUTH=LOGIN] Dovecot (Ubuntu) ready

И если я пытаюсь добавить, что моя учетная запись к Gmail вот - то, что я получаю:

"Missing +OK response upon connecting to the server: * OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE IDLE AUTH=PLAIN AUTH=LOGIN] Dovecot (Ubuntu) ready."

Почему это говорит самоподписанный сертификат?

2
задан 11 May 2015 в 18:24
2 ответа

На определенном уровне самозаверяющий сертификат всегда будет появляться в цепочке сертификатов - особенно в случае с сертификатами CA, которые по определению являются самоподписанными, но являются доверенными. Вы видите это сообщение, потому что сертификат CA StartSSL является самоподписанным.

Ваш файл цепочки также неверен - вам не нужны сертификаты клиентов. Файл должен быть в следующем порядке, сверху вниз, ссылки на эквивалентный сертификат StartSSL, предполагающий проверку класса 2 (документация здесь ):

  1. Закрытый ключ (необязательно)
  2. Ваш общедоступный сертификат
  3. Промежуточный сертификат класса 2
  4. Сертификат корневого ЦС

Ваша ошибка могла быть связана с использованием неправильного порта, как описано здесь . Для справки: порт 995 используется для соединений POP SSL, порт 993 используется для SSL IMAP ( ссылка ).

2
ответ дан 3 December 2019 в 11:37

Если вы пытаетесь настроить доступ Gmail к какой-либо сторонней учетной записи pop3, убедитесь, что вы используете порт 995, если это imap, то это 993.

Чтобы убедиться, что ваш SSL установлен и работая, вы можете использовать openssl с помощью следующей команды: 

openssl s_client -showcerts -connect  mail.yourserver.com:995

И если все в порядке, openssl не будет отображать никаких сообщений об ошибках.

0
ответ дан 3 December 2019 в 11:37

Теги

Похожие вопросы