證書鏈中的自簽名證書

我正在建構正確的證書鏈。我的證書頒發由 StartSSL 頒發的 2 類證書。

這是我在 ssl.crt 中放入的內容：

my cert
https://www.startssl.com/certs/ca.pem
https://www.startssl.com/certs/class2/sha1/pem/sub.class2.client.sha1.ca.pem
https://www.startssl.com/certs/class2/sha1/pem/sub.class2.server.sha1.ca.pem

（我放連結是為了讓你看到我把文件放在哪裡）

如果我這樣做，openssl s_client -connect multiformeingegno.it:993我會得到：

Verify return code: 19 (self signed certificate in certificate chain)
---
* OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE IDLE AUTH=PLAIN AUTH=LOGIN] Dovecot (Ubuntu) ready

如果我嘗試將我的帳戶添加到 Gmail，這就是我得到的：

"Missing +OK response upon connecting to the server: * OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE IDLE AUTH=PLAIN AUTH=LOGIN] Dovecot (Ubuntu) ready."

為什麼說是自簽名證書？

在某種程度上，自簽名證書將始終出現在證書鏈中 - 最明顯的是 CA 證書的情況，根據定義，這些證書是自簽名的，但受信任。您看到該消息是因為 StartSSL CA 證書是自簽名的。

您的鏈文件也是錯誤的 - 您不需要客戶端證書。該文件應按以下順序排列，從文件頂部到底部，連結指向 StartSSL 的等效證書，假設為 2 類驗證（文件在此處）：

1. 私鑰（可選）
2. 您的公共證書
3. 二級中級證書
4. 根 CA 證書

您的錯誤可能歸結為使用了錯誤的埠，如此處所述。作為參考，埠 995 用於 POP SSL 連接，埠 993 用於 IMAP SSL（參考）。

引用自：https://serverfault.com/questions/691168