Когда bat корневого сертификата ЦС не является доверенным?

Эта статья будет интересна и полезна тем, кто пользуется почтовым клиентом или попросту программой для электронной почты TheBat!

Буде полезна тем, у кого выскакивает окно Неизвестный сертификат СА.

Здесь я не буду говорить о достоинствах и недостатках этой программы. Кто пользуется этой программой, тот наверно уже давно оценил ее.

Однако, при работе с программой, как и с любой другой возникают «неприятные моменты», которые надо решать.

Недавно я столкнулся с такой проблемой. Когда нажимаешь Получить новую почту,

Когда bat корневого сертификата ЦС не является доверенным?

выскакивает окно, Неизвестный сертификат СА

Когда bat корневого сертификата ЦС не является доверенным?

Конечно можно нажать ОК и все, но меня это не устраивает по причине того, что у меня много почтовых ящиков и нажимать ОК приходится для каждого ящика.

Если вам это окно не мешает, то эту статью можете дальше не читать, а кто решит избавится от этой «проблемы», я предлагаю 2 варианта ее решения.

Лично у меня сработал 2-й вариант, но я расскажу об обоих вариантах.

Когда bat корневого сертификата ЦС не является доверенным?

Как известно, 30 сентября истек срок действия корневого сертификата Let’s Encrypt, и центр сертификации перешел на новый сертификат ISRG Root X1, действительный до 2035 года. Однако устройства и приложения, которые не умеют обновлять цепочки сертификатов, столкнулись с проблемой, что для серверов, использующих сертификаты Let’s Encrypt, но не обновивших корневой сертификат центра, цепочка становится более не действительной.

Отличился в плохую сторону и почтовый клиент The Bat! Дело в том, что он использует свой собственный список корневых сертификатов, поставляемых разработчиком, а не использует системные из операционной системы.

Для справки: Windows получает корневые сертификаты из обновлений ОС (на данный момент поддерживается только на Windows 10, для Windows 7 последние обновления не выпускались). Можно сделать дамп корневых сертификатов на Windows 10 с помощью утилиты certutil и установить их на Windows 7 машину.

Читать также:  Плагин для работы с сертификатом квалифицированной эп для входа на фнс

Решение проблемы с сертификата в клиенте The Bat

  • Закрыть The Bat!
  • Открыть папку почтовой базы The Bat! — примените сочетание клавиш Windows+R, чтобы открыть диалоговое окно «Выполнить», а затем введите %email% и нажмите кнопку «OK». В результате откроется папка почтовой базы.
  • Замените существующий файл RootCA.ABD новым скачанным файлом.

Когда bat корневого сертификата ЦС не является доверенным?

При настройке почтового сервера возникла проблема с сертификатами.Тестовый сертификат от RapidSSL работал без проблем со всеми почтовыми клиентами (это исключение, т.к. остальные триальные PositiveSSL, GlobalSign, EssentialSSL не хотели работать с The Bat!).Когда купили сертификат на год и подключили к dovecot и exim, то возникли проблемы в The Bat!.

1. При попытке отправить или принять почту возникает ошибка: «Сервер не представил корневой сертификат в сессии и соответствующий корневой сертификат не найден в адресной книге. Это соединение не может быть секретным. Пожалуйста, свяжитесь с администратором Вашего сервера». В журнале аналогичная запись: «Недействительный сертификат сервера (Поставщик цепочки этого S/MIME сертификата не найден)».

Когда bat корневого сертификата ЦС не является доверенным?

Проблема НЕ в поставщиках, а в настройках сервера. Вместе с сертификатом нашего домена нужно выдавать всю цепочку сертификатов (промежуточные CA и корневой CA). Это должно решить проблему нехватки корневого сертификата.

Решение:1.1. Открываем полученный сертификат (*.crt) в Windows:

Когда bat корневого сертификата ЦС не является доверенным?

1.2. Выбираем в списке промежуточный сертификат RapidSSL CA и нажимаем Просмотр сертификата:

Когда bat корневого сертификата ЦС не является доверенным?

1.3. Нажимаем Копировать в файл.Выбираем формат Base64 (это текстовый вариант, только расширение другое — *.cer).Затем нажимаем Далее и сохраняем файл.

Когда bat корневого сертификата ЦС не является доверенным?

1.4. С полученным сертификатом нужно повторить шаги 1.1-1.3.В моем случае я сохранил сертификат корневого CA — GeoTrust Global CA.

Когда bat корневого сертификата ЦС не является доверенным?

1.5.2 Этот файл нужно подсунуть exim таким образом:MAIN_TLS_CERTIFICATE = CONFDIR/mail.globalclubbing.com.all.crtА для dovecot другим:ssl_cert_file = /etc/ssl/certs/mail.globalclubbing.com.all.crt

1.6.2. И подключать через:SSLCertificateFile    /etc/ssl/certs/mail.globalclubbing.com.crtSSLCertificateChainFile /etc/ssl/certs/mail.globalclubbing.com.ca.crt

Читать также:  Установка tls сертификата от let s encrypt на веб сервер iis

2. Однако на этом проблема не заканчивается — The Bat! может заупрямиться и ответить: «Нет доверия к корневому S/MIME сертификату центра сертификации, поскольку его нет в адресной книге доверенных корневых центров сертификации». В журнале аналогичная запись: «Недействительный сертификат сервера (Нет доверия к корневому S/MIME сертификату центра сертификации, поскольку его нет в адресной книге доверенных корневых центров сертификации.)».

Когда bat корневого сертификата ЦС не является доверенным?

Дело в том, что в адресных книгах The Bat! (RootCA и IntermediateCA) могут отсутствовать указанные нами сертификаты (промежуточные CA и корневой CA).В этом случае достаточно добавить сертификат с помощью кнопки «Добавить к доверенным».

Кстати, есть способ проверить корректность настройки сертификатов для apache, exim (465 порт) и dovecot (995, 993 порты).

Как настроить шифрование почты (S/MIME) в The Bat . Это продолжение статьи Защита электронной почты. Шифрование почты. Получение сертификата.

The Bat поддерживает две технологии защиты информации: PGP и PKI (S/MIME). В этой статье речь пойдет только о технологии PKI (S/MIME).

Подразумевается, что сертификат для шифрования почты уже получен.

Для начала рассмотрим настройку с помощью Microsoft CryptoAPI (Win XP).

Когда bat корневого сертификата ЦС не является доверенным?

Использование Microsoft CryptoAPI

В списке криптопровайдеров выбираем Microsoft Enhanced Cryptographic Provider v1.0 (как обеспечивающий наилучшее шифрование). В списке также присутствует Microsoft Enhanced RSA and AES Cryptographic Provider (Prototype), однако, с его помощью зашифровать письмо у меня не получилось (вместо AES 256-бит, письмо зашифровывалось алгоритмом RC2). Использовать это криптопровайдер не рекомендую. Алгоритм шифрования: 3DES. Хеш-алгоритм подписи: SHA-1. Отмечаем опции «Помнить связи e-mail адресов с сертификатами для подписи» и «Помнить связи e-mail адресов с сертификатами для шифрования».

Настройка шифрования с помощью внутреннего криптопровайдера Bat.

Когда bat корневого сертификата ЦС не является доверенным?

Использование внутреннего криптопровайдера Bat

Читать также:  Смесь сухая ремонтная тиксотропная высокопрочная masteremaco s 5400 emaco nanocrete r4 сертификат

Открываем Адресную книгу и создаем контакт для СВОЕГО адреса e-mail. Если включен внутренний криптопровайдер Bat, то в адресной книге будет доступна вкладка Сертификаты. Открываем ее и нажимаем кнопку Импортировать. Выбираем сохраненный сертификат. Появится окно для ввода пароля закрытого ключа:

Когда bat корневого сертификата ЦС не является доверенным?

Импорт сертификата в хранилище Bat

Вводим пароль. Появится похожее окно, в него опять вводим тот же пароль. После этого в списке сертификатов должен появится новый сертификат.

Теперь двойным щелчком открываем его. Если в сведениях о сертификате будет надпись — «Этот S/MIME сертификат недействителен», в этом случае необходимо добавить корневой сертификат в список доверенных. Для этого открываем вкладку Путь сертификации:

Когда bat корневого сертификата ЦС не является доверенным?

Добавление корневого сертификата в список доверенных

Выделяем корневой сертификат (в примере AAA Certificate Services) и нажимаем кнопку Добавить к доверенным. На вопрос, действительно ли мы хотим это сделать, отвечаем Да. На этом импорт сертификата завершен.

Теперь мы готовы к отправке подписанных и/или зашифрованных сообщений.

Зашифровать/подписать письмо можно с помощью соответствующих кнопок на панели инструментов в окне создания письма. Расшифровка письма/проверка подлинности подписи выполняется с помощью значка в виде письма в правом верхнем углу окна просмотра сообщения.

2-й способ.

Когда bat корневого сертификата ЦС не является доверенным?

1-й способ.

Нужно перезаписать базу данных сертификатов СА, находится база данных сертификата по пути Свойства — Настройка — Система в пункте Почтовый каталог

Когда bat корневого сертификата ЦС не является доверенным?

Но просто так, из программы этого сделать не получится.

Но прежде чем удалять файлы, закройте программу.

Как я писал выше, этот метод у меня не сработал, и я применил 2-й способ.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *