Эта статья будет интересна и полезна тем, кто пользуется почтовым клиентом или попросту программой для электронной почты TheBat!
Буде полезна тем, у кого выскакивает окно Неизвестный сертификат СА.
Здесь я не буду говорить о достоинствах и недостатках этой программы. Кто пользуется этой программой, тот наверно уже давно оценил ее.
Однако, при работе с программой, как и с любой другой возникают «неприятные моменты», которые надо решать.
Недавно я столкнулся с такой проблемой. Когда нажимаешь Получить новую почту,
выскакивает окно, Неизвестный сертификат СА
Конечно можно нажать ОК и все, но меня это не устраивает по причине того, что у меня много почтовых ящиков и нажимать ОК приходится для каждого ящика.
Если вам это окно не мешает, то эту статью можете дальше не читать, а кто решит избавится от этой «проблемы», я предлагаю 2 варианта ее решения.
Лично у меня сработал 2-й вариант, но я расскажу об обоих вариантах.
Как известно, 30 сентября истек срок действия корневого сертификата Let’s Encrypt, и центр сертификации перешел на новый сертификат ISRG Root X1, действительный до 2035 года. Однако устройства и приложения, которые не умеют обновлять цепочки сертификатов, столкнулись с проблемой, что для серверов, использующих сертификаты Let’s Encrypt, но не обновивших корневой сертификат центра, цепочка становится более не действительной.
Отличился в плохую сторону и почтовый клиент The Bat! Дело в том, что он использует свой собственный список корневых сертификатов, поставляемых разработчиком, а не использует системные из операционной системы.
Для справки: Windows получает корневые сертификаты из обновлений ОС (на данный момент поддерживается только на Windows 10, для Windows 7 последние обновления не выпускались). Можно сделать дамп корневых сертификатов на Windows 10 с помощью утилиты certutil и установить их на Windows 7 машину.
Решение проблемы с сертификата в клиенте The Bat
- Закрыть The Bat!
- Открыть папку почтовой базы The Bat! — примените сочетание клавиш Windows+R, чтобы открыть диалоговое окно «Выполнить», а затем введите %email% и нажмите кнопку «OK». В результате откроется папка почтовой базы.
- Замените существующий файл RootCA.ABD новым скачанным файлом.
При настройке почтового сервера возникла проблема с сертификатами.Тестовый сертификат от RapidSSL работал без проблем со всеми почтовыми клиентами (это исключение, т.к. остальные триальные PositiveSSL, GlobalSign, EssentialSSL не хотели работать с The Bat!).Когда купили сертификат на год и подключили к dovecot и exim, то возникли проблемы в The Bat!.
1. При попытке отправить или принять почту возникает ошибка: «Сервер не представил корневой сертификат в сессии и соответствующий корневой сертификат не найден в адресной книге. Это соединение не может быть секретным. Пожалуйста, свяжитесь с администратором Вашего сервера». В журнале аналогичная запись: «Недействительный сертификат сервера (Поставщик цепочки этого S/MIME сертификата не найден)».
Проблема НЕ в поставщиках, а в настройках сервера. Вместе с сертификатом нашего домена нужно выдавать всю цепочку сертификатов (промежуточные CA и корневой CA). Это должно решить проблему нехватки корневого сертификата.
Решение:1.1. Открываем полученный сертификат (*.crt) в Windows:
1.2. Выбираем в списке промежуточный сертификат RapidSSL CA и нажимаем Просмотр сертификата:
1.3. Нажимаем Копировать в файл.Выбираем формат Base64 (это текстовый вариант, только расширение другое — *.cer).Затем нажимаем Далее и сохраняем файл.
1.4. С полученным сертификатом нужно повторить шаги 1.1-1.3.В моем случае я сохранил сертификат корневого CA — GeoTrust Global CA.
1.5.2 Этот файл нужно подсунуть exim таким образом:MAIN_TLS_CERTIFICATE = CONFDIR/mail.globalclubbing.com.all.crtА для dovecot другим:ssl_cert_file = /etc/ssl/certs/mail.globalclubbing.com.all.crt
1.6.2. И подключать через:SSLCertificateFile /etc/ssl/certs/mail.globalclubbing.com.crtSSLCertificateChainFile /etc/ssl/certs/mail.globalclubbing.com.ca.crt
2. Однако на этом проблема не заканчивается — The Bat! может заупрямиться и ответить: «Нет доверия к корневому S/MIME сертификату центра сертификации, поскольку его нет в адресной книге доверенных корневых центров сертификации». В журнале аналогичная запись: «Недействительный сертификат сервера (Нет доверия к корневому S/MIME сертификату центра сертификации, поскольку его нет в адресной книге доверенных корневых центров сертификации.)».
Дело в том, что в адресных книгах The Bat! (RootCA и IntermediateCA) могут отсутствовать указанные нами сертификаты (промежуточные CA и корневой CA).В этом случае достаточно добавить сертификат с помощью кнопки «Добавить к доверенным».
Кстати, есть способ проверить корректность настройки сертификатов для apache, exim (465 порт) и dovecot (995, 993 порты).
Как настроить шифрование почты (S/MIME) в The Bat . Это продолжение статьи Защита электронной почты. Шифрование почты. Получение сертификата.
The Bat поддерживает две технологии защиты информации: PGP и PKI (S/MIME). В этой статье речь пойдет только о технологии PKI (S/MIME).
Подразумевается, что сертификат для шифрования почты уже получен.
Для начала рассмотрим настройку с помощью Microsoft CryptoAPI (Win XP).
Использование Microsoft CryptoAPI
В списке криптопровайдеров выбираем Microsoft Enhanced Cryptographic Provider v1.0 (как обеспечивающий наилучшее шифрование). В списке также присутствует Microsoft Enhanced RSA and AES Cryptographic Provider (Prototype), однако, с его помощью зашифровать письмо у меня не получилось (вместо AES 256-бит, письмо зашифровывалось алгоритмом RC2). Использовать это криптопровайдер не рекомендую. Алгоритм шифрования: 3DES. Хеш-алгоритм подписи: SHA-1. Отмечаем опции «Помнить связи e-mail адресов с сертификатами для подписи» и «Помнить связи e-mail адресов с сертификатами для шифрования».
Настройка шифрования с помощью внутреннего криптопровайдера Bat.
Использование внутреннего криптопровайдера Bat
Открываем Адресную книгу и создаем контакт для СВОЕГО адреса e-mail. Если включен внутренний криптопровайдер Bat, то в адресной книге будет доступна вкладка Сертификаты. Открываем ее и нажимаем кнопку Импортировать. Выбираем сохраненный сертификат. Появится окно для ввода пароля закрытого ключа:
Импорт сертификата в хранилище Bat
Вводим пароль. Появится похожее окно, в него опять вводим тот же пароль. После этого в списке сертификатов должен появится новый сертификат.
Теперь двойным щелчком открываем его. Если в сведениях о сертификате будет надпись — «Этот S/MIME сертификат недействителен», в этом случае необходимо добавить корневой сертификат в список доверенных. Для этого открываем вкладку Путь сертификации:
Добавление корневого сертификата в список доверенных
Выделяем корневой сертификат (в примере AAA Certificate Services) и нажимаем кнопку Добавить к доверенным. На вопрос, действительно ли мы хотим это сделать, отвечаем Да. На этом импорт сертификата завершен.
Теперь мы готовы к отправке подписанных и/или зашифрованных сообщений.
Зашифровать/подписать письмо можно с помощью соответствующих кнопок на панели инструментов в окне создания письма. Расшифровка письма/проверка подлинности подписи выполняется с помощью значка в виде письма в правом верхнем углу окна просмотра сообщения.
2-й способ.
1-й способ.
Нужно перезаписать базу данных сертификатов СА, находится база данных сертификата по пути Свойства — Настройка — Система в пункте Почтовый каталог
Но просто так, из программы этого сделать не получится.
Но прежде чем удалять файлы, закройте программу.
Как я писал выше, этот метод у меня не сработал, и я применил 2-й способ.