1. ホーム
  2. 質問と答え
  3. Postfix:証明書チェーンの設定

Postfix:証明書チェーンの設定

2017-11-15 10 views
0

私の人生にとって私はここで間違っていることを理解できません。 私のPostfix-serverでTLSを正しく動作させることができません。Postfix:証明書チェーンの設定

私はThawteからのワイルドカード証明書を持っており、ワイルドカードと中間証明書を同じファイルに入れました。これは私のmain.cfです:

smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) 
inet_interfaces = all 
inet_protocols = ipv4 
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 192.165.199.0/24 
alias_maps = hash:/etc/aliases 
alias_database = hash:/etc/aliases 
myorigin = /etc/mailname 
biff = no 

smtpd_use_tls=yes 
smtpd_tls_security_level = may 
smtpd_tls_key_file = /etc/postfix/cert/device.key 
smtpd_tls_cert_file = /etc/postfix/cert/device.crt 
smtpd_tls_CAfile = /etc/postfix/cert/rootCA.pem 
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache 
smtp_use_tls = yes 
smtp_tls_security_level = may 
smtp_tls_loglevel = 1 
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache 

smtpd_relay_restrictions = permit_mynetworks,permit_sasl_authenticated,defer_unauth_destination 
smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination 
smtpd_sasl_local_domain = $myhostname 
smtpd_sasl_auth_enable = yes 
smtpd_sasl_security_options = noanonymous 
broken_sasl_auth_clients = yes

、これが私の証明書ファイル(私は全体の証明書を貼り付けていなかった)です。

-----BEGIN CERTIFICATE----- 
MIIGsDCCBZigAwIBAgIQSgo15k4YWfFlAngSiZuLETANBgkqhkiG9w0BAQsFADBD 
MQswCQYDVQQGEwJVUzEVMBMGA1UEChMMdGhhd3RlLCBJbmMuMR0wGwYDVQQDExR0 
...........Wildcard certificate............ 
gjgbXl6MjrVSj6FfDNJFjemtNRyHVEG+pOIE3s2bdxbW0GyKUu4Xv1lhs81AbriG 
cCtxINchiAgsWURmK1oq8ebScFpgv30UWEpdkyToAjSbl1wq 
-----END CERTIFICATE----- 
-----BEGIN CERTIFICATE----- 
MIIE3DCCA8SgAwIBAgIQPiM0Wu0sClF7Jt7UgB0QqjANBgkqhkiG9w0BAQsFADCB 
rjELMAkGA1UEBhMCVVMxFTATBgNVBAoTDHRoYXd0ZSwgSW5jLjEoMCYGA1UECxMf 
......Intermediate certificate........ 
Hi36v6dJog2X9ZbC6WzUzUcLi4oBi9v6z5J1Lt4+p3O1/gNRp0LDx0JrqW++9iDh 
jr+fCY7lCOiSk3c+SUScf+l5nf9Lr+A4VzQNXxEyEpKpYYiBpR74oPBFWoZxIIWF 
-----END CERTIFICATE-----

私はopenssl s_client -connect smtp-out.domain.com:587 -starttls smtp

を実行すると、私はこれらのようなメッセージが出ます:ローカル発行者証明書に

信頼されていない最初の証明書

証明書を検証することができませんでし

を取得することができません

Certificate chain 
0 s:/C=SE/ST=State/L=City/O=Company/OU=INC/CN=*.domain.com 
    i:/C=US/O=thawte, Inc./CN=thawte SHA256 SSL CA 
1 s:/C=US/O=thawte, Inc./OU=Domain Validated SSL/CN=thawte DV SSL SHA256 CA 
    i:/C=US/O=thawte, Inc./OU=Certification Services Division/OU=(c) 2008 thawte, Inc. - For authorized use only/CN=thawte Primary Root CA - G3

これを正しく実行するにはどうすればよいですか? 明らかに私は何かが不足していますが、私は何が分かりません。

warning: TLS library problem: error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca:s3_pkt.c:1315:SSL alert number 48:

出典

2017-11-15 PatricF

答えて

0

が、私は自分の質問に答えることを憎むが、私はちょうど私がルート証明書を使用して、正しいチェーンを生成

this素晴らしいサイトを発見し、使用する代わりと:

また、私はログにこれを取得しますそれは動作しません。

出典

2017-11-15 12:23:04 PatricF

関連する問題

 関連する問題