我的服务器正在运行 GNU/Linux CentOS 5.5 + Postfix 2.3.3 + Dovecot 1.0.7。
我收到一封来自 cacert.org 的邮件,说我的证书将在 45 天后过期,因此我前往 cacert.org 帐户来更新证书,并得到了如下信息:
-----开始证书----- MIIEnzCCAoe (...) -----证书结束-----
cacert.org 和任何搜索都没有解释下一步该怎么做。我用这个新证书替换了我的证书文件内容进行测试,但当电子邮件客户端开始发送消息时,弹出一个窗口说:
您即将覆盖 Thunderbird 识别此站点的方式。合法的银行、商店和其他公共站点不会要求您这样做。证书状态:此站点试图使用无效信息来标识自己。
证书属于不同的站点,这可能表明存在身份盗窃。身份不明。证书不受信任,因为它尚未经过公认机构的验证。
如何更新证书而不让此弹出窗口现在或证书过期后到达最终用户?
答案1
首先,您需要确定证书是否包含正确的“通用名称”。您可以将获得的文本放入文件中,然后输入以下内容来检查:
openssl x509 -noout -text -in /my/file
这将以人类可读的形式显示证书中的信息。
如果证书对于最终用户使用的主机名有效,则证书不应导致其客户端发出警告。如果出现警告,则他们无法确定签署证书的 CA 的有效性。在这种情况下,您可能需要将 CA 证书放在一个文件中,并调整配置以便读取 CA 证书。这样,软件就可以向最终用户提供证书和 CA 证书链。
请注意,如果最终用户使用的主机名与证书中的通用名称不匹配,他们将始终收到警告。