Certificado SSL Dovecot não é aceito

5

Tenho certificados emitidos de StartSSL , que é uma autoridade confiável para certificados, e meus sites funcionam com seus certificados sem problemas e sem reclamações de todos os navegadores sobre quaisquer problemas de confiança.

Agora eu queria ter o mesmo programado no Dovecot para ter meus e-mails recebidos com SSL certificado. Por isso, uso o IMAP para receber meu e-mail, digamos, pelo endereço mail.myweb.com. Fui ao StartSSL e emiti um certificado para esse subdomínio (que é o que sempre faço para obter qualquer subdomínio que eu queira ter com SSL através do servidor Apache).

Agora peguei esse certificado e defini que para ser o certificado que eu quero usar para esse nome de domínio (usando SNI) no Dovecot adicionando o seguinte a dovecot.conf

local_name mail.myweb.com {
  ssl_cert = </path/to/certificate/ssl.crt
  ssl_key = </path/to/privatekey/priv.key
}

Enquanto este processo funciona perfeitamente em um servidor Apache, e deixo meus navegadores felizes com um cadeado verde sem problemas de assinatura em meus certificados, o thunderbird insistiu que eu confirmasse este certificado como uma exceção.

Confirmei que o certificado que o thunderbird está recebendo é o correto, examinando os detalhes do certificado.

Qual poderia ser o motivo? O thunderbird é apenas paranóico e eu devo comprar um certificado?

Se você precisar de alguma informação adicional, por favor me avise.

Obrigado.

    
por The Quantum Physicist 27.11.2014 / 18:27

2 respostas

6

Você provavelmente está perdendo o certificado intermediário.

O AFAIK Dovecot não possui uma opção de certificado de cadeia, como no caso do Apache, você precisa concatenar o certificado intermediário em um único arquivo com o seu certificado público:

  1. O certificado assinado para seu domínio
  2. Certificado CA intermediário
  3. Certificado da CA raiz

Obtenha o certificado intermediário correto no link (possivelmente sub.class1.server.ca.pem) e, por exemplo,

cp /path/to/certificate/ssl.crt dovecot.crt
cat sub.class1.server.ca.pem >> dovecot.crt
    
por 27.11.2014 / 18:39
0

Além da resposta de HBruijn, gostaria de compartilhar com você que a instalação de um certificado criado no Webmin / Virtualmin não funciona (erro: "A linha 46 não se parece com o formato PEM"). Eu trabalhei em torno desta limitação, instalando o certificado de domínio primeiro e, em seguida, concatenando-o com o certificado intermediário após a instalação.

    
por 16.10.2016 / 15:19