パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Google、Gmail の POP3 フェッチ機能でオレオレ証明書を拒否する仕様に」記事へのコメント

  • by Anonymous Coward

    12月10日あたりだったと思うのですが、Rapid SSL の証明書を私の所で使っていたのですが、自己証明なため拒否するようなメッセージが。 調べてみたところ、RapidSSLにも中間証明書があったので、コレをインストールしてみたところうまくいきました。

    ってことで、オレオレでない証明書をご利用な方もご注意ください。

    • 自己証明というのは発行者 issuer と発行先 subject が同一のものをさすと思うので、中間証明書が足りないというのとは微妙に異なると思いますが、いずれにせよ、接続してみるのが一番です。

      $ openssl s_client -connect localhost:pop3s < /dev/null | tee log

      とかしてみて最後の方で Verify return code: 0 (ok) となれば大丈夫だと思います。ならなければ最初の方の Certificate chain あたりを見てみるとかします。

      openssl.cnf の設定が足りなければ、信頼できるルート証明書の位置をオプションで指定して下さい。詳しくは man s_client 参照のこと。

      • -CApath /etc/ssl/certs (Ubuntu など、ルート証明書に対し ed049835.0 など“16進数.0” というファイル名のシンボリックリンクがあるディレクトリを指定)
      • -CAfile /etc/pki/tls/cert.pem (Red Hat EL など、ルート証明書をつなげたファイルを指定)

      もちろんこれは稼働中のサーバにしか使えないので、お仕事のときにはサーバを再起動や reload する前に openssl verify で確認しましょう。が、中間証明書のインストール方法などはサーバによってバラバラなので、やっぱり再起動後に確認する必要があるとは思いますが。

      親コメント

Stay hungry, Stay foolish. -- Steven Paul Jobs

処理中...