TheBat! Неизвестный сертификат СА – Блог Сергея Бурдина

1-й способ.

Нужно перезаписать базу данных сертификатов СА, находится база данных сертификата по пути Свойства — Настройка — Система в пункте Почтовый каталог

Но просто так, из программы этого сделать не получится.

The bat! и сертификаты

При настройке почтового сервера возникла проблема с сертификатами.

Тестовый сертификат от

RapidSSL

работал без проблем со всеми почтовыми клиентами (это исключение, т.к. остальные триальные PositiveSSL, GlobalSign, EssentialSSL не хотели работать с The Bat!).

Когда купили сертификат на год и подключили к dovecot и exim, то возникли проблемы в The Bat!.

1. При попытке отправить или принять почту возникает ошибка: “Сервер не представил корневой сертификат в сессии и соответствующий корневой сертификат не найден в адресной книге. Это соединение не может быть секретным. Пожалуйста, свяжитесь с администратором Вашего сервера“. В журнале аналогичная запись: “Недействительный сертификат сервера (Поставщик цепочки этого S/MIME сертификата не найден)”.
TheBat! Неизвестный сертификат СА - Блог Сергея Бурдина

Проблема НЕ в поставщиках, а в настройках сервера. Вместе с сертификатом нашего домена нужно выдавать всю цепочку сертификатов (промежуточные CA и корневой CA). Это должно решить проблему нехватки корневого сертификата.

Решение:
1.1. Открываем полученный сертификат (*.crt) в Windows:
TheBat! Неизвестный сертификат СА - Блог Сергея Бурдина

1.2. Выбираем в списке промежуточный сертификат RapidSSL CA и нажимаем Просмотр сертификата:
TheBat! Неизвестный сертификат СА - Блог Сергея Бурдина

1.3. Нажимаем Копировать в файл.
Выбираем формат Base64 (это текстовый вариант, только расширение другое – *.cer).
Затем нажимаем Далее и сохраняем файл.
TheBat! Неизвестный сертификат СА - Блог Сергея Бурдина

1.4. С полученным сертификатом нужно повторить шаги 1.1-1.3.
В моем случае я сохранил сертификат корневого CA – GeoTrust Global CA.
TheBat! Неизвестный сертификат СА - Блог Сергея Бурдина

1.5.1. Итак у нас получилось два новых файла: для RapidSSL CA и для GeoTrust Global CA.
Для dovecot и exim мы объединим все три сертифкаты (ключая mail.globalclubbing.com) в один файл mail.globalclubbing.com.all.crt:
—–BEGIN CERTIFICATE—–
MIIE5TCCA82gAwIBAgICdPEwDQYJKoZIhvcNAQEFBQAwPDELMAkGA1UEBhMCVVMx

4HfgZX56IUcP
—–END CERTIFICATE—–
—–BEGIN CERTIFICATE—–
MIID1TCCAr2gAwIBAgIDAjbRMA0GCSqGSIb3DQEBBQUAMEIxCzAJBgNVBAYTAlVT

LEL2TxyJeN4mTvVvk0wVaydWTQBUbHq3tw==
—–END CERTIFICATE—–
—–BEGIN CERTIFICATE—–
MIIDVDCCAjygAwIBAgIDAjRWMA0GCSqGSIb3DQEBBQUAMEIxCzAJBgNVBAYTAlVT

5fEWCRE11azbJHFwLJhWC9kXtNHjUStedejV0NxPNO3CBWaAocvmMw==
—–END CERTIFICATE—–

Про сертификаты:  🙋️ Сертификаттарды қалай тегін алуға болады? Тегін сертификаттар мұғалімдерге — Тәрбие.kz

1.5.2 Этот файл нужно подсунуть exim таким образом:
MAIN_TLS_CERTIFICATE = CONFDIR/mail.globalclubbing.com.all.crt
А для dovecot другим:
ssl_cert_file = /etc/ssl/certs/mail.globalclubbing.com.all.crt

1.6.1 В случае с apache, нужно делать два файла.
Сертификат нашего домена mail.globalclubbing.com.crt:
—–BEGIN CERTIFICATE—–
MIIE5TCCA82gAwIBAgICdPEwDQYJKoZIhvcNAQEFBQAwPDELMAkGA1UEBhMCVVMx

4HfgZX56IUcP
—–END CERTIFICATE—–

И mail.globalclubbing.com.ca.crt, который содержит только CA.
—–BEGIN CERTIFICATE—–
MIID1TCCAr2gAwIBAgIDAjbRMA0GCSqGSIb3DQEBBQUAMEIxCzAJBgNVBAYTAlVT

LEL2TxyJeN4mTvVvk0wVaydWTQBUbHq3tw==
—–END CERTIFICATE—–
—–BEGIN CERTIFICATE—–
MIIDVDCCAjygAwIBAgIDAjRWMA0GCSqGSIb3DQEBBQUAMEIxCzAJBgNVBAYTAlVT

5fEWCRE11azbJHFwLJhWC9kXtNHjUStedejV0NxPNO3CBWaAocvmMw==
—–END CERTIFICATE—–

1.6.2. И подключать через:
SSLCertificateFile    /etc/ssl/certs/mail.globalclubbing.com.crt
SSLCertificateChainFile /etc/ssl/certs/mail.globalclubbing.com.ca.crt

2. Однако на этом проблема не заканчивается – The Bat! может заупрямиться и ответить: “Нет доверия к корневому S/MIME сертификату центра сертификации, поскольку его нет в адресной книге доверенных корневых центров сертификации”. В журнале аналогичная запись: “Недействительный сертификат сервера (Нет доверия к корневому S/MIME сертификату центра сертификации, поскольку его нет в адресной книге доверенных корневых центров сертификации.)”.
TheBat! Неизвестный сертификат СА - Блог Сергея Бурдина
Дело в том, что в адресных книгах The Bat! (RootCA и IntermediateCA) могут отсутствовать указанные нами сертификаты (промежуточные CA и корневой CA).
В этом случае достаточно добавить сертификат с помощью кнопки “Добавить к доверенным”.

Кстати, есть способ проверить корректность настройки сертификатов для apache, exim (465 порт) и dovecot (995, 993 порты).

Оцените статью
Мой сертификат
Добавить комментарий