Certificados SSL Postfix com Comodo (PostivieSSL) - “Autoridade Desconhecida”

4

Eu tenho um problema com meu servidor de email executando uma configuração de postfix / dovecot, essencialmente quando executo os vários testes de segurança que recebo que meus certificados não podem ser validados, veja aqui: link

Os certificados e arquivos relacionados que tenho disponíveis (que são válidos de acordo com o link ) são:

  • AddTrustExternalCARoot.crt
  • brailsford_xyz.crt
  • COMODORSAAddTrustCA.crt
  • COMODORSADomainValidationSecureServerCA.crt

Eu também tenho meu arquivo de chave para o crt, brailsford_xyz.key

Minha configuração no postfix é:

smtpd_tls_cert_file=/etc/ssl/certs/postfixchain.crt
smtpd_tls_key_file=/etc/ssl/private/brailsford.key
smtpd_tls_CAfile=/etc/ssl/certs/COMODORSADomainValidationSecureServerCA.crt
smtpd_use_tls=yes

A cadeia postfix é uma combinação de três dos certs anteriores, na seguinte ordem:

  1. brailsford_xyz.crt
  2. COMODORSADomainValidationSecureServerCA.crt
  3. AddTrustExternalCARoot.crt

Alguém pode aconselhar sobre o que estou fazendo de errado e como posso corrigi-lo?

    
por AviateX14 21.09.2015 / 23:05

2 respostas

4

Parece que sua cadeia de certificados SSL não está completa (ou está faltando um link). Veja o que openssl s_client retorna quando me conecto ao seu servidor de e-mail:

$ openssl s_client -CAfile /etc/ssl/certs/ca-certificates.crt -starttls smtp -connect brailsford.xyz:587
CONNECTED(00000003)
depth=1 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Domain Validation Secure Server CA
verify error:num=20:unable to get local issuer certificate
verify return:0
---
Certificate chain
 0 s:/OU=Domain Control Validated/OU=PositiveSSL/CN=brailsford.xyz
   i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Domain Validation Secure Server CA
 1 s:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Domain Validation Secure Server CA
   i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority
 2 s:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
   i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
---

Como você pode ver, há um certificado com o emissor ( i ) de "/ C = GB / ST = Maior Manchester / L = Salford / O = COMODO CA Limited / CN = Autoridade de Certificação COMODO RSA", mas a cadeia não contém um certificado emitido para esse assunto por uma CA confiável (ou outra CA intermediária).

Tanto quanto eu posso dizer que você está perdendo pelo menos este certificado (como o terceiro link em sua cadeia): link

Esse é o número de série 27: 66: ee: 56: eb: 49: f3: 8e: ab: d7: 70: a2: fc: 84: de: 22 e Subject: C=GB, ST=Greater Manchester, L=Salford, O=COMODO CA Limited, CN=COMODO RSA Certification Authority

    
por 21.09.2015 / 23:18
2

Sua diretiva:

smtpd_tls_CAfile=/etc/ssl/certs/COMODORSADomainValidationSecureServerCA.crt

é estranho. Você provavelmente não quer especificá-lo - é para a CA que emite certificados de cliente se você estiver usando a autenticação de certificado de cliente. Não é para sua corrente.

Normalmente, basta colocar seu certificado seguido por cada um de seus certificados CA intermediários, no formato PEM, concatenados juntos no smtpd_tls_cert_file . Não é necessário especificar a raiz. Verifique novamente se você está usando os certificados corretos.

O erro que o ssl-tools.net está dando é um pouco enigmático. Considere usar o openssl s_client para verificar problemas.

    
por 21.09.2015 / 23:18