othello napisał(a)
Jedyne wyjście to zainstalowanie certyfikatu dostawcy (czyli ciebie) w magazynie zaufanych urzędów certyfikacji na systemie klienta, który będzie korzystał z poczty - czyli u wszystkich użytkowników.
Dobra, ściągam z serwera smtpd.c(e)rt, uruchamiam Outlooka, klik Identyfikatory cyfrowe... -> Importuj... -> w Kreatorze importu wybieram ww. plik, w magazynie certyfikatów wybieram Automatycznie wybierz magazyn..., po czym znajduję mój certyfikat w zakładce "Zaufane główne urzędy certyfikacji". W opcjach zaawansowanych wszystkie opcje są zahaczone, a stan certyfikatu: ten certyfikat jest prawidłowy. Uruchamiam OE jeszcze raz i znowu ten komunikat. Jak go pokonać poprzez import certyfikatu na klienta?
Edit:
Przeprowadziłem głębsze rozpoznanie w kwestii certyfikacji, ale ciągle tkwię w tym samym punkcie. Nie mniej jednak mam porównanie, co jest nie tak z moim certyfikatem. Tak wygląda test mojego certyfikatu:
[root@patmail postfix]# openssl s_client -starttls smtp -showcerts -connect 127.0.0.1:25
CONNECTED(00000003)
depth=0 /C=PL/ST=Lodzkie/L=Lodz/O=L*******/OU=LUW
verify error:num=18:self signed certificate
verify return:1
depth=0 /C=PL/ST=Lodzkie/L=Lodz/O=L******/OU=LUW
verify return:1
---
Certificate chain
0 s:/C=PL/ST=Lodzkie/L=Lodz/O=L******/OU=LUW
i:/C=PL/ST=Lodzkie/L=Lodz/O=L*****/OU=LUW
-----BEGIN CERTIFICATE-----
MIIEAzCCAuugAwIBAgIJALJLWN5K3qGHMA0GCSqGSIb3DQEBBQUAMF4xCzAJBgNV
...
05ftb/fpKnTh9jP8fb4SdB/2fZYFWM0=
-----END CERTIFICATE-----
---
Server certificate
subject=/C=PL/ST=Lodzkie/L=Lodz/O=L****/OU=LUW
issuer=/C=PL/ST=Lodzkie/L=Lodz/O=L****/OU=LUW
---
No client certificate CA names sent
---
SSL handshake has read 1963 bytes and written 351 bytes
---
New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
Server public key is 2048 bit
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1
Cipher : DHE-RSA-AES256-SHA
Session-ID: 79EE2ED6418792F2349F088842791E08EE616FF7414E3888E0D29671819D5B3C
Session-ID-ctx:
Master-Key: 284A91D02D59E27AA4A00E343A3505ED1DEBBEF47C2352D26D239C388C971DA723B797010078F644278C556C6C497F52
Key-Arg : None
Krb5 Principal: None
Start Time: 1260284646
Timeout : 300 (sec)
Verify return code: 18 (self signed certificate)
A tak wygląda certyfikat ładnie podpisany przez "prawdziwy" CA
[root@patmail postfix]# openssl s_client -starttls smtp -showcerts -connect tbd.lodz.pl:25
CONNECTED(00000003)
depth=1 /C=US/O=Equifax Secure Inc./CN=Equifax Secure Global eBusiness CA-1
verify return:1
depth=0 /C=PL/O=poczta.tbd.lodz.pl/OU=GT38771781/OU=See www.rapidssl.com/resources/cps (c)08/OU=Domain Control Validated - RapidSSL(R)/CN=poczta.tbd.lodz.pl
verify return:1
---
Certificate chain
0 s:/C=PL/O=poczta.tbd.lodz.pl/OU=GT38771781/OU=See www.rapidssl.com/resources/cps (c)08/OU=Domain Control Validated - RapidSSL(R)/CN=poczta.tbd.lodz.pl
i:/C=US/O=Equifax Secure Inc./CN=Equifax Secure Global eBusiness CA-1
-----BEGIN CERTIFICATE-----
MIIDUTCCArqgAwIBAgIDCBcxMA0GCSqGSIb3DQEBBAUAMFoxCzAJBgNVBAYTAlVT
...
tKPzwu2NTHk3Tx0G43HwergY8M6+ABW/Dy0KE1wV6wmeRIp3Mg==
-----END CERTIFICATE-----
---
Server certificate
subject=/C=PL/O=poczta.tbd.lodz.pl/OU=GT38771781/OU=See www.rapidssl.com/resources/cps (c)08/OU=Domain Control Validated - RapidSSL(R)/CN=poczta.tbd.lodz.pl
issuer=/C=US/O=Equifax Secure Inc./CN=Equifax Secure Global eBusiness CA-1
---
No client certificate CA names sent
---
SSL handshake has read 1672 bytes and written 351 bytes
---
New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
Server public key is 1024 bit
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1
Cipher : DHE-RSA-AES256-SHA
Session-ID: 00A19E442189D5B8585BA7C5DE33464D66880838FBAE683897C804E3F5B85773
Session-ID-ctx:
Master-Key: E4D2E9B4E9E239D8D78F975BBF1EA2A6B876058976263598D9C01156B8C1EFBE2880BCF8F8DB04C2D206B2D549B82DD5
Key-Arg : None
Jak widać, różnica polega na tym, że certyfikuję się za jako CA poziomu 0 (depth=0), podczas gdy konkurencja ma certyfikat podpisany przez Equifax, gdzie depth=1. Czy ktoś ma pomysł, jak stworzyć swój własny certyfikat o poziomie 1?