服务器 Gind.cn

服务器问题集锦,包括 Linux(Ubuntu, Centos,Debian等)和Windows Server服务器

Postfix SMTP客户端没有使用tls_append_default_CA对系统范围的CA证书进行validation

在运行Debian Wheezy的面向Internet的Postfix SMTP服务器上,我想与一些已知的服务器build立安全连接。 有些是我自己的,运行我自己的PKI / CA,有些是公共SMTP服务器,如Google的Gmail服务器。 为了检查我正在运行的服务器上的证书,我已经指定了 smtp_tls_CAfile = /usr/local/share/ca-certificates/Gert_van_Dijk_Root_CA_2014.crt 并确保公共服务器也可以通过内置的系统证书库进行validation,我明确指定了 tls_append_default_CA = yes 为了确保Postfix正确validation证书,我已经将全局TLS安全级别设置为“安全”。 在完成debugging此处所述的问题后,我会将其更改回“可能”,以便在某些域中secure smtp_tls_policy_maps 。 smtp_tls_security_level = secure 它validation我自己的服务器就好! 这些都使用由Gert_van_Dijk_Root_CA_2014.crt签名的证书运行。 但是,当SMTP客户端尝试向Google的SMTP服务器发送邮件时,它实际上并没有通过tls_append_default_CA设置追加证书。 我期望它在Debian上附加来自/etc/ssl/certs文件。 postfix/smtp[32271]: effective TLS level: secure […] postfix/smtp[32271]: < alt1.gmail-smtp-in.l.google.com[64.233.164.26]:25: 220 2.0.0 Ready to start TLS […] postfix/smtp[32271]: DE6D0403EB: Server certificate not verified 以下是我所尝试的: 在master.cf为smtp客户端禁用chroot,如下所示: smtp unix – – n – […]