У меня есть почтовый сервер Postfix/Dovecot/MySQL с настроенным входом в систему с паролем пользователя. Все работает отлично, за исключением того, что Dovecot не отправляет клиенту CA-файл цепочки. У меня есть
ssl_cert = </etc/apache2/ssl/apache.crt
ssl_key = </etc/apache2/ssl/apache.key
ssl_ca = </etc/apache2/ssl/apache.pem
в моем файле /etc/dovecot/conf.d/10-ssl.conf. Однако файл CA не отправляется.
openssl s_client -connect server.com:143 -starttls imap
ПОДКЛЮЧЕН(00000003)
глубина = 0 CN = server.com
ошибка подтверждения: число = 20: невозможно получить сертификат локального эмитента
проверить возврат: 1
глубина = 0 CN = server.com
ошибка проверки: число = 21: невозможно проверить первый сертификат
проверить возврат: 1
...
Если я добавлю ssl_verify_client_cert = да, все работает нормально.
openssl s_client -connect server.com:143 -starttls imap
ПОДКЛЮЧЕН(00000003)
depth=2 C = США, ST = Аризона, L = Скоттсдейл, O = «Starfield Technologies, Inc.», CN = корневой центр сертификации Starfield — G2
проверить возврат: 1
depth=1 C = США, ST = Аризона, L = Скоттсдейл, O = «Starfield Technologies, Inc.», OU = http://certs.starfieldtech.com/repository/, CN = Центр сертификации Starfield Secure — G2
проверить возврат: 1
глубина = 0 CN = server.com
проверить возврат: 1
Однако я не использую авторизацию клиентского сертификата. Я неправильно понял конфигурацию Dovecot или это ожидаемое поведение? Должен ли я оставить это так?
