我已经使用 mydomain.org 作为通用名称生成了自签名证书颁发机构。我使用 Thunderbird 的证书管理器在“颁发机构”选项卡下导入了公共证书。到目前为止一切顺利。
接下来,使用此 CA,我已为 mail.mydomain.org 生成(并签名)证书,但即使我导入了 CA,当我第一次尝试连接时,我仍然会收到“添加安全例外”弹出窗口,并显示“未知身份”消息。以下屏幕截图说明了这种情况:
注意:CA 和邮件证书均使用“SHA-1 和 RSA 加密”进行签名。
注意 2:我理解我应该从受信任的机构获取证书,这只是一个临时解决方案。
我的问题是:
1) 这种行为正常吗?
2) 我如何“说服” Thunderbird 我 CA 签署的所有证书都是可信的?
更新
% openssl s_client -connect mail.mydomain.org:993
CONNECTED(00000003)
depth=1 <snip> CN = mydomain.org, <snip>
verify error:num=19:self signed certificate in certificate chain
verify return:0
---
Certificate chain
0 s:/<snip>/CN=mail.mydomain.org/<snip>
i:/<snip>/CN=mydomain.org/<snip>
1 s:/<snip>/CN=mydomain.org/<snip>
i:/<snip>/CN=mydomain.org/<snip>
---
Server certificate
-----BEGIN CERTIFICATE-----
<BASE64>
-----END CERTIFICATE-----
subject=/<snip>/CN=mail.mydomain.org/<snip>
issuer=/<snip>/CN=mydomain.org/<snip>
---
No client certificate CA names sent
---
SSL handshake has read 2807 bytes and written 567 bytes
---
New, TLSv1/SSLv3, Cipher is AES256-SHA
<long apparently irrelevant output snipped>
Verify return code: 19 (self signed certificate in certificate chain)
---
* OK [CAPABILITY IMAP4rev1 UIDPLUS CHILDREN NAMESPACE THREAD=ORDEREDSUBJECT THREAD=REFERENCES SORT QUOTA IDLE AUTH=PLAIN ACL ACL2=UNION] Courier-IMAP ready. Copyright 1998-2011 Double Precision, Inc. See COPYING for distribution information.
答案1
- 在 Mozilla Thunderbird 中,转到工具 → 选项 → 高级 → 选项卡证书。
- 单击“查看证书”并转到“服务器”选项卡。
- 单击添加例外。
- 输入您的邮件服务器的名称,然后单击获取证书。
不要忘记使用邮件服务器的端口号。
例如:mail.provider.com:993 - 保存异常。
答案2
我也遇到了同样的问题。我遇到的问题是没有创建 CA,-extensions v3_caFirefox 并不关心这个问题,但 Thunderbird 似乎需要“有效”签名