Eu tenho um certificado ssl primário e um certificado ssl encadeado no mesmo diretório, com exatamente as mesmas permissões e propriedade. Eu tenho a configuração do Dovecot para usar esse arquivo cert encadeado. Funciona bem. Se eu usar o certificado principal (não encadeado), eu tenho um cliente de e-mail que não pode falar com o Dovecot. Eu tenho Postfix usando o certificado primário, e parece feliz o suficiente com isso com base em meus testes, pelo meu entendimento é que eu posso ter problemas se eu não usar um certificado encadeado lá também. Existem muitas fontes que verificam isto, por ex. link
Quando eu mudo o Postfix para usar o certificado de cadeia, no entanto, ele engasga e reclama de erros de permissão que não fazem sentido. Isso aparece no meu registro de e-mail:
Oct 10 15:06:07 XXXXXXXXX postfix/submission/smtpd[31154]: warning: cannot get RSA certificate from file /usr/etc/ssl/certs/XXXXXXXX/XXXXXXXXX-chained.crt: disabling TLS support
Oct 10 15:06:07 XXXXXXXXX postfix/submission/smtpd[31154]: warning: TLS library problem: 31154:error:0200100D:system library:fopen:Permission denied:bss_file.c:398:fopen('/usr/etc/ssl/certs/XXXXXXXX/XXXXXXXXX-chained.crt','r'):
Como eu disse, as permissões são idênticas para o arquivo que está feliz com este, e a Dovecot não tem esse problema. o que estou perdendo?
Resolvido. É só uma questão de extensão de arquivo! O postfix se recusa a usar o certificado encadeado, a menos que tenha uma extensão .pem. Não é exigente em relação à versão não encadeada, e outros servidores não se importam com esse detalhe. Isso é muito fraco ... Pelo menos a correção é indolor!
(BTW, o Dovecot está bem com o .pem se você quiser ser consistente ao usar os dois.)
Tags postfix ssl-certificate