Почему Thunderbird и Outlook не признают сертификат SSL от WoSign?

Question

[R000M]

Есть сертификат SSL для имени, например, www.example.com. Сертификат выдан WoSign. Браузеры при подключении по https к www.example.com реагируют на него нормально. Настраиваю на сервере почту. Добавил этот сертификат в hMailServer для IMAP-протокола (порт 993) - Thunderbird ругается: "Верификация сертификата не удалась - выдавшая его сторона неизвестна"

Answer 1

[Николай Корабельников]

UPD. УЦ WoSign отсутствует в корневых доверенных центрах сертификации Thunderbird.
Видимо, еще не договорились.

Закрытый ключ не забыли указать?
Делали по мануалу?

Comments

[R000M]

Да, делал по указанному мануалу. Thunderbird говорит - "выдавшая его сторона неизвестна". Т.е. есть сертификат он получил, но отказался с ним работать. При этом Thunderbird позволяет принять этот сертификат на компьютер и создать исключающее правило И свойства сертификата отображает нормально. Я подумал, что не хватает каких-нибудь рутовых сертификатов УЦ на почтовом сервере и проделал эту процедуру, но не помогло

[Николай Корабельников]

А что говорит Outlook? Он то должен использовать системное хранилище сертификатов, а, следовательно, если сертификат принимается в IE, то должен приниматься в Outlook.
Можете выложить содержимое сертификата, который вы получили от WoSign?

[R000M]

Outlook менее информативен - "Зашифрованное подключение к почтовому серверу недоступно". Не совсем понимаю, что значит "выложить содержимое сертификата". После того, как я в WoSign направил CSR, они мне прислали архив, содержащий четыре файла: 1_root.crt, 2_cross.crt, 3_issuer.crt, 4_mysitename.ru.crt. Последний файл я использовал в IIS для настройки HTTPS. Как я уже говорил, браузеры он устроил. Может быть для imap.mysitename.ru нужно было получать отдельный сертификат?

[Николай Корабельников]

Если URL сервера, к которому происходит подключение imap.mysitename.ru, то, конечно, получать сертификат надо на него.
Содержимое сертификата - содержимое файла mysitename.ru.crt.

[R000M]

А разве не должен в этом случае Thunderbird выдавать что-то типа "Не удалось подтвердить, что это сервер imap.mysitename.ru. Его сертификат безопасности относится к mysitename.ru. Возможно, сервер настроен неправильно или кто-то пытается перехватить ваши данные."? Он же выдаёт "выдавшая его сторона неизвестна". Ощущение, что не может найти центр сертификации.

[Николай Корабельников]

Вы правы. Ошибка должна указывать на то, что сертификат не соответствует серверу. Но я и не говорю, что ваша проблема исключительно из-за этого. Я только написал, что если сервер imap.mysitename.ru, то и сертификат должен соответствовать.
Пришлите содержимое сертификата, а лучше url вашего сервера, тогда будет о чем говорить.

[R000M]

Проект еще в разработке и я не хотел бы сейчас публиковать адрес. Да и реакцию заказчика трудно спрогнозировать. Могу отправить другим способом. Я на этом ресурсе недавно и пока не нашел здесь личных сообщений.

[Николай Корабельников]

Я не знаю, есть ли на тостере личные сообщения. Вы можете постучаться в linkedin. Контакты есть в моем профиле.