SSL-соединение с почтовым сервером.Доверенный ssl-сертификат отклонен почтовым клиентом

Question

У меня годадди 2048bit сертификат для домена и 4 поддоменов.[www.site.com, mail.site.com и т. д.]

Стандартный многодоменный SSL (UCC) SSL до 5 доменов - 1 год (годовой)

Этот сертификат отлично работает в Apache, ssl web checker говорит «ОК», и браузер показывает зеленую строку в адресной строке.

Я добавил этот сертификат в почтовый демон, он также был принят Exim.

Когда какой-то клиент пытаетсяотправлять почту с SSL / TLS-соединением через почтовый сервер, почтовая программа сообщает «Сертификат НЕДОСТАТОЧНЫЙ», хотя показывает правильную доверенную информацию.

Клиент подключается к имени хоста: mail.server.com, имя хоста сервера: ns1.server.com (не добавлен в сертификат), почтовый сервер сообщает: 220 ns1.site.com ESMTP Exim 4.73

Проверенные почтовые клиенты: почтовый клиент iPAD, Mozilla Thunderbird, почтовый клиент Mac

Пожалуйста, помогите.

ОБНОВЛЕНИЕ:

Программа проверки Godaddy ssl сообщает: SSL цепь доверия сломана!

Answer 1

Вот несколько вещей, которые нужно проверить:

1. Имя хоста, которое почтовый клиент использует в соединении TCP, указано в сертификате сервера как общее имя (CN)отличительное имя субъекта?

2. Если нет, указывается ли оно с использованием типа «DNS:» в дополнительном имени сертификата X509 v3 расширение сертификата?

3. Если ни один из вышеперечисленных, вы можете получить «Несоответствие имени удаленного сертификата» (или ошибка с аналогичным именем).

4. Если он указан в списке, найдите эмитента сертификата,и Эмитент Эмитента и т. д., вплоть до корневого сертификата цепочки.Корневой сертификат должен быть установлен на клиентском компьютере в хранилище сертификатов «Доверенный корень» для любого используемого вами клиента (Windows, Mozilla, хранилище ключей Java и т. Д.)

5. ЕслиУстановлен корневой сертификат , затем посмотрите промежуточные сертификаты, если они есть в цепочке (между корневыми сертификатами и сертификатами сервера).Они должны быть установлены локально или поступать с сервера вместе с сертификатом сервера - либо сервер отправляет их каждый раз, либо у вас уже установлены промежуточные сертификаты на стороне клиента.В любом случае, они должны быть готовы принять сертификат сервера.

Answer 2

Имеют ли клиенты, которые отклоняют сертификат, соответствующие корневые сертификаты в своем хранилище сертификатов?