Ssl

證書鏈中的自簽名證書

  • November 22, 2016

我正在建構正確的證書鏈。我的證書頒發由 StartSSL 頒發的 2 類證書。

這是我在 ssl.crt 中放入的內容:

my cert
https://www.startssl.com/certs/ca.pem
https://www.startssl.com/certs/class2/sha1/pem/sub.class2.client.sha1.ca.pem
https://www.startssl.com/certs/class2/sha1/pem/sub.class2.server.sha1.ca.pem

(我放連結是為了讓你看到我把文件放在哪裡)

如果我這樣做,openssl s_client -connect multiformeingegno.it:993我會得到:

Verify return code: 19 (self signed certificate in certificate chain)
---
* OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE IDLE AUTH=PLAIN AUTH=LOGIN] Dovecot (Ubuntu) ready

如果我嘗試將我的帳戶添加到 Gmail,這就是我得到的:

"Missing +OK response upon connecting to the server: * OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE IDLE AUTH=PLAIN AUTH=LOGIN] Dovecot (Ubuntu) ready."

為什麼說是自簽名證書?

在某種程度上,自簽名證書將始終出現在證書鏈中 - 最明顯的是 CA 證書的情況,根據定義,這些證書是自簽名的,但受信任。您看到該消息是因為 StartSSL CA 證書是自簽名的。

您的鏈文件也是錯誤的 - 您不需要客戶端證書。該文件應按以下順序排列,從文件頂部到底部,連結指向 StartSSL 的等效證書,假設為 2 類驗證(文件在此處):

  1. 私鑰(可選)
  2. 您的公共證書
  3. 二級中級證書
  4. 根 CA 證書

您的錯誤可能歸結為使用了錯誤的埠,如此所述。作為參考,埠 995 用於 POP SSL 連接,埠 993 用於 IMAP SSL(參考)。

引用自:https://serverfault.com/questions/691168