現在、PCI 準拠のプロセスを進めていますが、警告が 6 つ残っています。特に困っているのは、「SSL 証明書は IMAP (143/TCP) では信頼できません」というものです。CentOS 6.5 で Postfix/Courier-Imap を使用しており、ポート 993 (IMAPS) に SSL 証明書がすでにインストールされています。
質問は、ポート 143 で SSL を追加、編集、または削除するにはどうすればいいかということです。
ポート 993 は IMAP + SSL だと思っていたので、スキャナーがポート 143 の信頼できない SSL について警告する理由がわかりません。
あまり明確でなかったら申し訳ありません。
更新: この問題はポート 587、443、110、25 でも発生し (SSL 証明書は信頼できません)、説明には「サーバーの X.509 証明書には、既知のパブリック証明機関からの署名がありません」と記載されています。これらの警告が参照している中央証明書はどこかにありますか?
答え1
IMAP/143 に関する警告は、おそらく、imapd が TLS をサポートしているため、ツールがプレーンテキストの IMAP に接続し、TLS へのエスカレーションを要求し、その後提示される証明書についてエラーを報告しているためです。
MTA が何であるかはわかりませんし、私は Courier IMAP の専門家ではありませんが、Sendmail と Dovecot では、デフォルトで同じ証明書が使用されることはまずありません。メイン サーバーではすべて同じ証明書を使用していますが、証明書の形式が異なるため、同じファイルから取得するわけではありません。1 つのサーバーでは、公開キーと秘密キーを PEM ファイルにまとめて使用し、別のサーバーでは、キーと証明書のファイルを別々に使用してチェーン証明書をcatメイン証明書に関連付け、さらに別のサーバーではチェーン証明書を別のファイルにして使用しています。
おそらく、あなたにも同じことが当てはまると思います。Courier と MTA の設定を確認し、SSL 証明書をどこで探しているかを確認する必要があります。そうして初めて、彼らの主張が正しいかどうかがわかります。