Como renovar um certificado CAcert no CentOS sem usuários irritantes?

1

Meu servidor está executando o GNU / Linux CentOS 5.5 + Postfix 2.3.3 + Dovecot 1.0.7.

Eu recebi um e-mail do cacert.org dizendo que meu certificado está definido para expirar em 45 dias, então fui para a conta cacert.org para renovar o certificado e obter algo assim:

-----BEGIN CERTIFICATE-----
MIIEnzCCAoe (...)
-----END CERTIFICATE-----

Nem cacert.org nem nenhuma pesquisa eu expliquei o que fazer a seguir. Eu substituí o conteúdo do meu arquivo de certificado por este novo certificado para teste, mas quando os clientes de e-mail estão começando a enviar uma mensagem, um pop-up diz:

You are about to override how Thunderbird identifies this site. Legitimate banks, stores, and other public sites will not ask you to do this. Certificate status: This site attempts to identify itself with invalid information.

Certificate belongs to a different site, which could indicate an identity theft. Unkonwn identity. Certificate is not trusted, because it hasn't been verified by a recognised authority.

Como faço para atualizar o certificado sem que esse pop-up alcance os usuários finais agora ou depois que o certificado expira?

    
por HelpfulPanda 11.06.2011 / 16:08

1 resposta

2

Antes de mais nada, você precisa descobrir se o certificado contém o "Nome Comum" correto. Você pode verificar isso colocando o texto em um arquivo e digitando:

openssl x509 -noout -text -em / meu / arquivo

Isso exibirá as informações no certificado em formato legível.

Se o certificado for válido para o nome do host que os usuários finais usam, o certificado não deverá fazer com que seus clientes emitam avisos. Se o fizerem, não poderão determinar a validade da CA que assinou o certificado. Nesse caso, você pode precisar dos certificados de autoridade de certificação em um arquivo e ajustar sua configuração para que os certificados de autoridade de certificação também sejam lidos. Dessa forma, o software pode fornecer aos usuários finais o certificado E a cadeia de certificados de CA.

Observe que os usuários finais receberão SEMPRE um aviso se o nome do host que eles usam não corresponderem ao nome comum do certificado.

    
por 11.06.2011 / 20:10