Thunderbirdからアカウントが見つからない2(Postfix+Dovecot+OpenSSL)

前提
CentoOs7のさくらのクラウドサーバーにPostfix+Dovecotで下記URLを参考にメールサーバーを構築しました。
設定後Thunderbirdからアカウント設定とメール送受信が問題なくできることを確認しています。
[参考URL] https://centossrv.com/postfix.shtml

実現したいこと
その後グローバルサインから発行されたサーバー証明書を使ってOpenSSLでメール送受信の設定をしましたがThunderbirdで「Thunderbirdはあなたのアカウント設定を見つけられませんでした。」と表示されて設定できません。

SELinux、Firewallともに無効にしましたが症状とは変わらないためpostfix、dovecotの設定のどこかを間違えているのではないかと考えています。どこに問題があるかわかる方は教えてください。

・設定は下記サイトを見て暗号化の設定をしています。
https://centossrv.com/postfix-tls.shtml

設定ファイルは下記を変更しています。

postfix
1vi /etc/postfix/main.cf
2
3smtpd_use_tls = yes
4smtpd_tls_cert_file = /etc/pki/tls/certs/mail.pem
5smtpd_tls_key_file = /etc/pki/tls/certs/mail.pem
6smtpd_tls_session_cache_database = btree:/var/lib/postfix/smtpd_scache

postfic
1vi /etc/postfix/master.cf
2
3#submission inet n       -       n       -       -       smtpd
4#  -o syslog_name=postfix/submission
5#  -o smtpd_tls_security_level=encrypt
6#  -o smtpd_sasl_auth_enable=yes
7smtps     inet  n       -       n       -       -       smtpd
8   -o smtpd_tls_wrappermode=yes
9   -o smtpd_sasl_auth_enable=yes
10tlsmgr    unix  -       -       n       1000?   1       tlsmgr
11

dovecot
1vi /etc/dovecot/conf.d/10-ssl.conf
2
3ssl = yes
4ssl_cert = </etc/pki/tls/certs/mail.pem
5ssl_key = </etc/pki/tls/certs/mail.pem

/etc/pki/tls/certs/mail.pem は下記コマンドで作成しています。
・domain-name.2017.key：発行した鍵ファイル
・dvcacert.cer：グローバルサインから発行された中間CA証明書
・domain-name.2017.crt：グローバルサインから発行された証明書 SHA256

terminal
1# cat /etc/httpd/conf/ssl.key/domain-name.2017.key /etc/httpd/conf/ssl.crt/domain-name.2017.crt /etc/httpd/conf/ssl.crt/dvcacert.cer > /etc/pki/tls/certs/mail.pem

Thunderbirdのアカウント追加では下記を設定しています。

Thunderbird
1  受信サーバー:
2   IMAP
3   サーバーのホスト名: mail.domain-name
4   ポート番号: 993
5     SSL:SSL/TLS
6     認証方式: 通常のパスワード認証
7  送信サーバー:
8   SMTP
9   サーバーのホスト名: mail.domain-name
10   ポート番号: 465
11   SSL: SSL/TLS
12   認証方式: 通常のパスワード認証
13  ユーザ名
14   受信サーバー: info
15   送信サーバー: info

ssコマンドで確認して993と465ポートはLISTENで待ち受け状態になっています。

terminal
1# ss -natu
2Netid State      Recv-Q Send-Q                      Local Address:Port                                     Peer Address:Port              
3udp   UNCONN     0      0                               127.0.0.1:323                                                 *:*                  
4udp   UNCONN     0      0                                     ::1:323                                                :::*                  
5tcp   LISTEN     0      100                                     *:110                                                 *:*                  
6tcp   LISTEN     0      100                                     *:143                                                 *:*                  
7tcp   LISTEN     0      100                                     *:465                                                 *:*                  
8tcp   LISTEN     0      100                                     *:25                                                  *:*                  
9tcp   LISTEN     0      128                                     *:48352                                               *:*                  
10tcp   LISTEN     0      100                                     *:993                                                 *:*                  
11tcp   LISTEN     0      100                                     *:995                                                 *:*                  
12tcp   ESTAB      0      36                          27.133.129.69:48352                                  118.103.63.146:60634              
13tcp   TIME-WAIT  0      0                           27.133.129.69:143                                    118.103.63.146:60643              
14tcp   LISTEN     0      80                                     :::3306                                               :::*                  
15tcp   LISTEN     0      100                                    :::110                                                :::*                  
16tcp   LISTEN     0      100                                    :::143                                                :::*                  
17tcp   LISTEN     0      128                                    :::80                                                 :::*                  
18tcp   LISTEN     0      100                                    :::465                                                :::*                  
19tcp   LISTEN     0      32                                     :::21                                                 :::*                  
20tcp   LISTEN     0      100                                    :::25                                                 :::*                  
21tcp   LISTEN     0      128                                    :::443                                                :::*                  
22tcp   LISTEN     0      128                                    :::48352                                              :::*                  
23tcp   LISTEN     0      100                                    :::993                                                :::*                  
24tcp   LISTEN     0      100                                    :::995                                                :::*

CHERRY

2017/09/04 13:54

993 と 465 のポートは、待ち受けしているのですよね？

行動規範の内容に同意します

回答1件

ベストアンサー

証明書と中間証明書を結合したものを cert に設定し、
秘密鍵を key に設定したらどうでしょうか？

また、下記のようなコマンドで tls 接続はできますでしょうか
openssl s_client -tls1_2 -crlf -connect example.com:465
openssl s_client -tls1_2 -crlf -connect example.comf:995

投稿2017/09/04 15:34

scsi

総合スコア2840

OldRiver

2017/09/04 17:38

証明書と中間証明書を結合して cert に設定し、秘密鍵を key に設定してmacからopensslで接続確認を結果を貼ります。 CONNECTEDと出るので接続はできているようですが「no peer certificate available」となっているため有効な証明書として認識されていないということでしょうか？ $ openssl s_client -tls1_2 -crlf -connect domain-name:465 CONNECTED(00000003) write:errno=54 --- no peer certificate available --- No client certificate CA names sent --- SSL handshake has read 0 bytes and written 0 bytes --- New, (NONE), Cipher is (NONE) Secure Renegotiation IS NOT supported Compression: NONE Expansion: NONE No ALPN negotiated SSL-Session: Protocol : TLSv1.2 Cipher : 0000 Session-ID: Session-ID-ctx: Master-Key: Key-Arg : None PSK identity: None PSK identity hint: None SRP username: None Start Time: 1504545343 Timeout : 7200 (sec) Verify return code: 0 (ok) --- $ openssl s_client -tls1_2 -crlf -connect domain-name:995 CONNECTED(00000003) write:errno=54 --- no peer certificate available --- No client certificate CA names sent --- SSL handshake has read 0 bytes and written 0 bytes --- New, (NONE), Cipher is (NONE) Secure Renegotiation IS NOT supported Compression: NONE Expansion: NONE No ALPN negotiated SSL-Session: Protocol : TLSv1.2 Cipher : 0000 Session-ID: Session-ID-ctx: Master-Key: Key-Arg : None PSK identity: None PSK identity hint: None SRP username: None Start Time: 1504545458 Timeout : 7200 (sec) Verify return code: 0 (ok) --- $ openssl s_client -tls1_2 -crlf -connect domain-name:993 CONNECTED(00000003) write:errno=54 --- no peer certificate available --- No client certificate CA names sent --- SSL handshake has read 0 bytes and written 0 bytes --- New, (NONE), Cipher is (NONE) Secure Renegotiation IS NOT supported Compression: NONE Expansion: NONE No ALPN negotiated SSL-Session: Protocol : TLSv1.2 Cipher : 0000 Session-ID: Session-ID-ctx: Master-Key: Key-Arg : None PSK identity: None PSK identity hint: None SRP username: None Start Time: 1504545487 Timeout : 7200 (sec) Verify return code: 0 (ok) ---

scsi

2017/09/04 22:57

-tls1 とか -ssl3 でもダメですかね？グローバルサインのほうの設定手順は確認済みでしょうか？ https://jp.globalsign.com/support/mail/203.html

OldRiver

2017/09/06 17:51

oepnsshの結果から証明書をうまく読み込みめていないため設定ファイルを再度見直したところ中間CA証明書を設定する箇所があったため設定することでThunderbirdから接続が可能になりました。参考サイトは中間CA証明書を使わないケースだったため設定箇所があることに気づかず漏れていました。 # vi /etc/postfix/main.cf smtpd_tls_CAfile = /etc/pki/tls/certs/dvcacert.cer # vi /etc/dovecot/conf.d/10-ssl.conf ssl_ca = </etc/pki/tls/certs/dvcacert.cer

行動規範の内容に同意します