SSL se connecter au serveur de messagerie. certificat ssl confiance rejeté par la poste client

StackOverflow https://stackoverflow.com/questions/4807092

Question

J'ai certificat 2048bit GoDaddy pour le domaine et 4 sous-domaines. [Www.site.com, mail.site.com, e.t.c.]

Standard Multiple Domain (UCC) SSL Jusqu'à 5 domaines - 1 an (annuel)

Ce certificat fonctionne bien dans Apache, vérificateur Web ssl dit OK et montre navigateur ligne verte dans la chaîne d'adresse.

J'ai ajouté ce certificat au démon mail, il a été accepté par Exim aussi.

Lorsque des essais clients à envoyer des messages avec connexion SSL / TLS via le serveur de messagerie, programme de courrier dit « certificat est mauvais » mais montre corriger les informations confiance.

Client se connecte à nom d'hôte: mail.server.com, le nom d'hôte du serveur est: ns1.server.com (non ajouté au certificat), serveur de messagerie dit: 220 ns1.site.com ESMTP Exim 4,73

Les clients de messagerie testé: iPAD client de messagerie, Mozilla Thunderbird, client de messagerie Mac

S'il vous plaît aider.

Mise à jour:

Le vérificateur ssl GoDaddy dit: la chaîne SSL de confiance est brisé

Était-ce utile?

La solution

Voici quelques choses à vérifier:

  1. Le nom d'hôte que l'utilisation du client de messagerie dans la connexion TCP, répertoriés dans le certificat de serveur comme nom commun (CN) du sujet nom distinctif?

  2. Dans le cas contraire, est-il répertorié en utilisant le type "DNS:" dans l'objet Nom alternatif extension de certificat X509 v3

  3. Si aucune de ce qui précède, vous pourriez être obtenir "Nom du certificat à distance Mismatch" (ou de la même erreur du nom.)

  4. Si elle est répertoriée, alors regardez pour l'émetteur du certificat, et l'émetteur de l'émetteur, etc., tout le chemin du certificat racine de la chaîne. Le certificat racine doit être installé sur la machine cliente, dans le magasin de certificats "racine de confiance" pour quelque client que vous utilisez (Windows, Mozilla, Java keystore, etc.)

  5. Si le certificat racine installé, puis regardez les certificats intermédiaires, s'il y en a dans la chaîne (entre certificats racine et serveur). Ils doivent être installés localement, ou arrivent en provenance du serveur à côté du certificat de serveur - soit le serveur les envoie à chaque fois ou vous avez obtenu les certificats intermédiaires déjà installés sur le côté client. De toute façon, ils ont obtenu d'être dans la main pour accepter le certificat du serveur.

Autres conseils

Bougez les clients qui rejettent le certificat ont les certificats racine appropriés dans leur magasin de cert?

Licencié sous: CC-BY-SA avec attribution
Non affilié à StackOverflow
scroll top