Este é um problema com a cadeia de certificados enviada com o certificado. Você pode usar o mesmo certificado com Apache2, Postfix e Dovecot. No entanto, a configuração para certificados intermediários é diferente: o Apache tem uma diretiva separada SSLCertificateChainFile
, enquanto o Postfix e o Dovecot exigem certificados intermediários no mesmo arquivo ( smtpd_tls_cert_file
/ ssl_cert
).
Testando sua configuração atual com openssl s_client -debug -connect
, tanto kanzan.se:465
para SMTPS quanto kanzan.se:443
para HTTPS mostram apenas um certificado.
Certificate chain
0 s:/OU=Domain Control Validated/CN=kanzan.se
i:/C=BE/O=GlobalSign nv-sa/CN=AlphaSSL CA - SHA256 - G2
Isso também deve mostrar os certificados intermediários, sendo a cadeia completa da CA raiz:
Certificate chain
0 s:/OU=Domain Control Validated/CN=kanzan.se
i:/C=BE/O=GlobalSign nv-sa/CN=AlphaSSL CA - SHA256 - G2
1 s:/C=BE/O=GlobalSign nv-sa/CN=AlphaSSL CA - SHA256 - G2
i:/C=BE/O=GlobalSign nv-sa/OU=Root CA/CN=GlobalSign Root CA
2 s:/C=BE/O=GlobalSign nv-sa/OU=Root CA/CN=GlobalSign Root CA
i:/C=BE/O=GlobalSign nv-sa/OU=Root CA/CN=GlobalSign Root CA
Para configurar isso no Postfix e no Dovecot (e no Apache):
-
Você pode obter o certificado intermediário da GlobalSign Certificados intermediários do AlphaSSL . Você precisa daquele com serial
040000000001444ef03631
./etc/ssl/certs# wget https://secure.globalsign.com/cacert/gsalphasha2g2r1.crt
A CA raiz da GlobalSign deve estar em
GlobalSign_Root_CA.pem
. Você pode verificar a serial:/etc/ssl/certs$ openssl x509 -in GlobalSign_Root_CA.pem -serial -noout serial=040000000001154B5AC394
-
Todos os certificados precisam estar em formato PEM blindado ASCII, enquanto o
gsalphasha2g2r1.crt
está atualmente em formato binário codificado por DER. Você precisa convertê-lo usando:openssl x509 -inform DER -in gsalphasha2g2r1.crt -out gsalphasha2g2r1.pem
-
Combine os certificados conforme explicado em Leiame do TLS do Postfix . A ordem é a mesma para Dovecot .
cat kanzan_cert_comb.crt gsalphasha2g2r1.pem GlobalSign_Root_CA.pem > postfix.crt
-
Use esses certificados:
- Postfix:
smtpd_tls_cert_file=/etc/ssl/certs/postfix.crt
- Docevot:
ssl_cert = </etc/ssl/certs/postfix.crt
- Apache, adicione:
SSLCertificateChainFile /etc/ssl/certs/gsalphasha2g2r1.crt
- Postfix: