Проблема

Якщо використовувати на поштовому сервері само підписаний сертифікат та використовувати шифроване з’єднання SSL/TLS, то можливі проблеми підключення клієнтських поштових програм. Наприклад, якщо використовувати програму “Ritlabs The Bat!”, та в налаштуваннях використовувати механізм Microsoft CryptoAPI (Рис. 1), то можуть бути проблеми позначені на  (Рис. 2) - відмова прийняття само підписаного сертифікату.


Рис. 1. The Bat!, механізм Microsoft CryptoAPI


Рис. 2. The Bat!, Відмова прийняття само підписаного сертифікату

Вирішення

  1. Треба отримати відкритий сертифікат у потрібному форматі, наприклад DER.
  2. Імпортувати сертифікат до кореневого сховища довірчих центрів сертифікатів.

Реалізація

  1. Поштовий сервер Dovecot, у нашому випадку працює під керування операційної системи FreeBSD. Генерацію сертифікатів можна зробити за допомогою сценарію /usr/local/share/examples/dovecot/mkcert.sh. Згенеровані сертифікати зберігаются у теці  /etc/ssl/certs у форматі PEM.
    Також ці сертифікати можна використовувати і в інший програмах, наприклад Postfix MTA,  Open ldap sever.

Для конвертації до формату DER використаємо команди 
cd /etc/ssl/certs
openssl x509 -outform der -in dovecot.pem -out dovecot.der
Перепишемо конвертований сертифікат dovecot.der до клієнтського комп’ютера, наприклад за допомогою прогрими WinSCP.

  1. Імпортуємо переписаний файл dovecot.der до кореневого сховища довірчих центрів сертифікатів за допомогою майстра імпорту сертифікатів операційної системи Windows 7 (рис. 3 - рис. 7).
    Після імпортування можемо бачити успішне з’єднання поштової програми рис.8.


Рис. 3


Рис.4


Рис.5


Рис. 6


Рис.7


Рис.8

P.S. Навіщо це робити?
Якщо використовувати внутрішню реалізацію механізму рис. 1, то імпортувати сертифікат можна внутрішніми засобами програми The Bat!, але є одне зауваження при цьому не працюють інші зовнішні сертифікати, наприклад я маю безкоштовні сертифікати від Comodo SSL для підпису своїх листів.
Тепер працює з’єднання і можу підписувати листи цифровим підписом.