Thunderbird 不信任使用自签名机构签名的证书

Thunderbird 不信任使用自签名机构签名的证书

我已经使用 mydomain.org 作为通用名称生成了自签名证书颁发机构。我使用 Thunderbird 的证书管理器在“颁发机构”选项卡下导入了公共证书。到目前为止一切顺利。

接下来,使用此 CA,我已为 mail.mydomain.org 生成(并签名)证书,但即使我导入了 CA,当我第一次尝试连接时,我仍然会收到“添加安全例外”弹出窗口,并显示“未知身份”消息。以下屏幕截图说明了这种情况:

弹出窗口、邮件证书、当局、信任、CA

注意:CA 和邮件证书均使用“SHA-1 和 RSA 加密”进行签名。
注意 2:我理解我应该从受信任的机构获取证书,这只是一个临时解决方案。

我的问题是:

1) 这种行为正常吗?
2) 我如何“说服” Thunderbird 我 CA 签署的所有证书都是可信的?

更新

% openssl s_client -connect mail.mydomain.org:993
CONNECTED(00000003)
depth=1 <snip> CN = mydomain.org, <snip>
verify error:num=19:self signed certificate in certificate chain
verify return:0
---
Certificate chain
 0 s:/<snip>/CN=mail.mydomain.org/<snip>
   i:/<snip>/CN=mydomain.org/<snip>
 1 s:/<snip>/CN=mydomain.org/<snip>
   i:/<snip>/CN=mydomain.org/<snip>
---
Server certificate
-----BEGIN CERTIFICATE-----
<BASE64>
-----END CERTIFICATE-----
subject=/<snip>/CN=mail.mydomain.org/<snip>
issuer=/<snip>/CN=mydomain.org/<snip>
---
No client certificate CA names sent
---
SSL handshake has read 2807 bytes and written 567 bytes
---
New, TLSv1/SSLv3, Cipher is AES256-SHA
<long apparently irrelevant output snipped>
    Verify return code: 19 (self signed certificate in certificate chain)
---
* OK [CAPABILITY IMAP4rev1 UIDPLUS CHILDREN NAMESPACE THREAD=ORDEREDSUBJECT THREAD=REFERENCES SORT QUOTA IDLE AUTH=PLAIN ACL ACL2=UNION] Courier-IMAP ready. Copyright 1998-2011 Double Precision, Inc.  See COPYING for distribution information.

答案1

  1. 在 Mozilla Thunderbird 中,转到工具 → 选项 → 高级 → 选项卡证书。
  2. 单击“查看证书”并转到“服务器”选项卡。
  3. 单击添加例外。
  4. 输入您的邮件服务器的名称,然后单击获取证书。
    不要忘记使用邮件服务器的端口号。
    例如:mail.provider.com:993
  5. 保存异常。

来源:http://kb.kerio.com/product/kerio-connect/server-configuration/ssl-certificates/self-signed-certificates-in-mozilla-thunderbird-950.html

答案2

我也遇到了同样的问题。我遇到的问题是没有创建 CA,-extensions v3_caFirefox 并不关心这个问题,但 Thunderbird 似乎需要“有效”签名

相关内容