Certificado autoassinado na cadeia de certificados

Question

Certificado autoassinado na cadeia de certificados

#1 resposta do (2 votos)
#2 resposta do (0 votos)

1

Estou criando a cadeia de certificados correta. Meu certificado emite uma classe 2 emitida pela StartSSL.

Aqui está o que eu coloquei no meu ssl.crt:

my cert
https://www.startssl.com/certs/ca.pem
https://www.startssl.com/certs/class2/sha1/pem/sub.class2.client.sha1.ca.pem
https://www.startssl.com/certs/class2/sha1/pem/sub.class2.server.sha1.ca.pem

(eu coloquei os links para permitir que você veja onde eu peguei os arquivos)

Se eu fizer um openssl s_client -connect multiformeingegno.it:993 , obtenho:

Verify return code: 19 (self signed certificate in certificate chain)
---
* OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE IDLE AUTH=PLAIN AUTH=LOGIN] Dovecot (Ubuntu) ready

E se eu tentar adicionar minha conta ao Gmail, aqui está o que recebo:

"Missing +OK response upon connecting to the server: * OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE IDLE AUTH=PLAIN AUTH=LOGIN] Dovecot (Ubuntu) ready."

Por que isso diz um certificado auto-assinado?

ssl postfix dovecot ssl-certificate

por MultiformeIngegno 11.05.2015 / 17:24

2 respostas

0

Se você estiver tentando configurar o acesso do Gmail a uma conta pop3 de terceiros, use a porta 995 se for o imap e, em seguida, o 993.

Para garantir que seu SSL esteja instalado e funcionando, você pode usar o openssl com o seguinte comando:

openssl s_client -showcerts -connect  mail.yourserver.com:995

E se tudo estiver OK, não haverá mensagens de erro exibidas pelo openssl.

por 22.11.2016 / 09:48

Tags ssl postfix dovecot ssl-certificate

Caractere especial ou caractere curinga no separador de campos awk Página de administração do Apache Tomcat

score 2 · Accepted Answer

Em algum nível, um certificado autoassinado sempre aparecerá em uma cadeia de certificados - principalmente no caso de CERs da CA, que são, por definição, autoassinados, mas confiáveis. Você está vendo essa mensagem porque o certificado da CA do StartSSL é autoassinado.

Seu arquivo em cadeia também está errado - você não precisa dos certificados do cliente. O arquivo deve estar na seguinte ordem, da parte superior do arquivo até a parte inferior, os links são para o certificado equivalente do StartSSL, assumindo a validação da classe 2 (a documentação é aqui ):

Chave privada (opcional)
Seu certificado público
Certificado intermediário de classe 2
Certificado de CA raiz

Seu erro pode estar relacionado a usar a porta errada, conforme discutido aqui . Para referência, a porta 995 é usada para conexões POP SSL, a porta 993 é usada para SSL IMAP ( referência ).