我目前正在努力實現 PCI 合規,但還剩下 6 個警告。我特別困擾的是「SSL 憑證無法信任 IMAP (143/TCP)」。我在 CentOS 6.5 上使用 Postfix/Courier-Imap,並且已在連接埠 993 (IMAPS) 上安裝了 SSL 憑證。
我的問題是,如何新增、編輯或刪除連接埠 143 上的 SSL?
我認為連接埠 993 是 IMAP + SSL,所以我不確定為什麼我的掃描器抱怨連接埠 143 上的 SSL 不受信任。
抱歉,如果這不是很清楚。
更新:此問題也出現在連接埠 587、443、110 和 25 上(SSL 憑證不可信),給出的描述是「伺服器的 X.509 憑證沒有來自已知公共憑證授權單位的簽章」。這些警告所指的地方是否有中央證書?
答案1
有關 IMAP/143 的警告可能是因為您的 imapd 支援 TLS,因此工具正在連接到純文字 IMAP,要求升級到 TLS,並抱怨隨後提供的憑證。
你沒有說你的 MTA 是什麼,我也不是快遞 IMAP 的專家,但對於 sendmail 和 dovecot,它們肯定不會在預設情況下使用相同的憑證。即使在我的主伺服器上,他們都使用相同的證書,他們也不會從同一個檔案中取得它,因為他們想要不同的格式:一個想要將公鑰和私鑰放在一個PEM 檔案中,另一個想要單獨的密鑰和 cert 文件,但連結證書cat與主證書一起使用,還有一個希望將連結證書放在單獨的文件中。
在我看來,你也可能會遇到同樣的情況。您必須查看快遞公司和 MTA 的配置,並了解他們在哪裡尋找 SSL 憑證 - 只有這樣您才能判斷他們是否有道理。