Ssl
證書鏈中的自簽名證書
我正在建構正確的證書鏈。我的證書頒發由 StartSSL 頒發的 2 類證書。
這是我在 ssl.crt 中放入的內容:
my cert https://www.startssl.com/certs/ca.pem https://www.startssl.com/certs/class2/sha1/pem/sub.class2.client.sha1.ca.pem https://www.startssl.com/certs/class2/sha1/pem/sub.class2.server.sha1.ca.pem
(我放連結是為了讓你看到我把文件放在哪裡)
如果我這樣做,
openssl s_client -connect multiformeingegno.it:993
我會得到:Verify return code: 19 (self signed certificate in certificate chain) --- * OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE IDLE AUTH=PLAIN AUTH=LOGIN] Dovecot (Ubuntu) ready
如果我嘗試將我的帳戶添加到 Gmail,這就是我得到的:
"Missing +OK response upon connecting to the server: * OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE IDLE AUTH=PLAIN AUTH=LOGIN] Dovecot (Ubuntu) ready."
為什麼說是自簽名證書?
在某種程度上,自簽名證書將始終出現在證書鏈中 - 最明顯的是 CA 證書的情況,根據定義,這些證書是自簽名的,但受信任。您看到該消息是因為 StartSSL CA 證書是自簽名的。
您的鏈文件也是錯誤的 - 您不需要客戶端證書。該文件應按以下順序排列,從文件頂部到底部,連結指向 StartSSL 的等效證書,假設為 2 類驗證(文件在此處):
您的錯誤可能歸結為使用了錯誤的埠,如此處所述。作為參考,埠 995 用於 POP SSL 連接,埠 993 用於 IMAP SSL(參考)。