我目前正在进行 PCI 合规性检查,还有 6 条警告。我最头疼的是“SSL 证书无法信任 IMAP (143/TCP)”。我在 CentOS 6.5 上使用 Postfix/Courier-Imap,并且已经在端口 993 (IMAPS) 上安装了 SSL 证书。
我的问题是,如何添加、编辑或删除端口 143 上的 SSL?
我以为端口 993 是 IMAP + SSL,所以我不确定为什么我的扫描仪会抱怨端口 143 上存在不受信任的 SSL。
如果这不是很清楚的话,很抱歉。
更新:此问题也发生在端口 587、443、110 和 25 上(SSL 证书不可信任),给出的描述是“服务器的 X.509 证书没有来自已知公共证书颁发机构的签名”。这些警告是否指的是某个中央证书?
答案1
有关 IMAP/143 的警告可能是因为您的 imapd 支持 TLS,所以该工具正在连接到纯文本 IMAP,要求升级到 TLS,并抱怨当时提供的证书。
您没有说明您的 MTA 是什么,我也不是 courier IMAP 方面的专家,但对于 sendmail 和 dovecot,默认情况下它们绝对不会使用相同的证书。即使在我的主服务器上,它们都使用相同的证书,但它们并非都从同一个文件获取证书,因为它们想要不同的格式:一个希望公钥和私钥一起放在 PEM 文件中,另一个希望单独的密钥和证书文件,但链接证书cat
与主证书放在一起,而另一个希望链接证书放在单独的文件中。
我觉得你的情况可能也一样。你必须查看快递员和 MTA 的配置,看看他们在哪里寻找 SSL 证书 - 只有这样你才能判断他们说的是否正确。