Тема: Root Certificate проблема

Когда я проверяю почту на одном из серверов, появляется сообщение "The server didn't provide a root certificate during the session, and there is no corresponding root certificate in your address book".

Я скачала Root Certificate и импортировала его в Trusted Root CA Address Book. Это не помогло - Бат не использует этот сертификат дтя TLS соединений.

В Trusted Root CA Address Book, в "Certificates Tab", если кликнуть на "View" certificate, говорится:

The Bat can use this certificate for:
message encryption - no,
verifying digital signiture of a message - no,
TLS connections - no.

Посмотрела свойства других сертификатов из моей "Trusted Root CA Address Book", там везде написано:
The Bat can use this certificate for:
message encryption - yes ,
verifying digital signiture of a message - yes,
TLS connections - yes.

Довольно очевидно что проблема в этом. Но как заставить БАТ использовать импортированный сертификат для TLS соединений?

Не все что очевидно - правильно, и не все правильное - очевидно…
заставить - нельзя, потому что не нужно… и использовать корневой сертификат для соединения - тоже не то…
скорее всего в RootCA подложен не тот сертификат, которым подписан серверный, или или же он (возможно) просрочен…

что свойства сертификата корневого в книге говорят?

Wanderer

скорее всего в RootCA подложен не тот сертификат

В логе Бата указано что требуется корневой сертификат UTN-USERFirst-Hardware от www.usertrust.com:

>9/10/2006, 11:26:43: FETCH - Certificate S/N: 5ECCAAEA239CC56508C78553729F1A71, algorithm: RSA (1024 bits), issued from 27 Jun 2006 to 27 Jun 2007, for 1 host(s): mail.nerdshack.com.
>9/10/2006, 11:26:43: FETCH - Owner: US, 75201, Texas, Dallas, 2109 Commerce Street, Lavabit LLC, Hosted by Razorvision Technology, Comodo InstantSSL, mail.nerdshack.com.
>9/10/2006, 11:26:43: FETCH - Issuer: US, UT, Salt Lake City, The USERTRUST Network, http://www.usertrust.com, UTN-USERFirst-Hardware.
!9/10/2006, 11:26:43: FETCH - TLS handshake failure. Invalid server certificate (The issuer of this certificate chain was not found).

Я скачала UTN-USERFirst-Hardware сертификат отсюда:
http://www.usertrust.com/cacerts/UTN…t-Hardware.crt

По названию совпадает. А как еще проверить тот это сертификат или не тот?

что свойства сертификата корневого в книге говорят?

См. приложенный файл.

В чем может быть проблема?

Проблема в том, что сертификат использован не тот, что нужно…
UTN-USERFirst-Hardware использован для подписи серверного, но он сам - не корневой, а выдан (подписан) AddTrust External CA Root (и этот третий сертификат сервер, даже если попросить - в цепочке сертификатов не передает)…
Так что UTN-USERFirst-Hardware надо в промежуточные (и не с сайта, а отданный сервером), и в корневые найти AddTrust External CA Root

PS - то, что с сайта отдаваемый сертификат не то - видно по серийному номеру и по тому, что он CAшный, а для подписи сертификата сервера использовался не он
PPS - в аттаче лог коннекта при помощи "openssl s_client -showcerts" и вырезанные из лога 2 сертификатов

Wanderer

Спасибо
Я импортировала твои сертификаты в Бат.

Но я не могу найти AddTrust External CA Root сертификат

На http://www.addtrust.com его скачать нельзя.

Нашла пару в Гугле - но они все не те (промежуточные/предназначены для чего-то другого)
http://www.instantssl.com/ssl-certif…TNServerCA.crt
http://www.federation.org.au/twiki/p…TNServerCA.crt
http://docs.codehaus.org/download/at....crt?version=1

Как и где можно раздобыть этот сертификат?

И почему вообще такая проблема с этим мылом случилась? Я ведь использую и другие SSL/TLS e-mails, и никогда раньше не приходилось пол-дня искать какой-то сертификат

Написала в nerdshack.com тех-поддержку с просьбой выслать корневой сертификат.

Мне дали ссылку и прислали вот это:
http://www.instantssl.com/ssl-certif…ion/bundle.crt

В этой связке AddTrust External CA Root является промежуточным сертификатом, подписанный корневым сертификатом UTN-USERFirst-Hardware (а здесь говорилось что нужно наоборот, UTN-USERFirst-Hardware в промежуточные, а AddTrust External CA Root в корневые).

При попытке его использования Бат зависает.

Что делать?

Неудивительно что вешается, там закольцованы сертификаты…

Итак, вот по этому линку найден правильный AddTrust External CA Root, выданный в свою очередь UTN SGC (который у меня обнаружился в Trusted Root)
Для демонстрации показываю недостающие в "стандартном разливе" сертификаты, добавленные обычному пользователю в адресбуке для тестирования, и цепочку сертификатов + сертификат AddTrust.
Техподдержке nerdshack.com за закольцованный путь сертификации можно показать средний палец

Wanderer

Огромное спасибо - после импортирования указанного сертификата проблема разрешилась! А я здесь все сижу и пытаюсь убедить тех-поддержку nerdshak'a что они мне дали неправильный сертификат Без твоей помощи я б еще долго с ними переписывалась. Кроме того, я теперь лучше понимаю как это все работает.