SSL 连接到邮件服务器。邮件客户端拒绝受信任的 ssl 证书

Question

我有 Godaddy 的 2048 位域证书和 4 个子域。 [www.site.com、mail.site.com 等]

标准多域 (UCC) SSL 最多 5 个域 - 1 年（每年）

该证书在 Apache 中运行良好，ssl 网络检查器显示正常，浏览器在地址字符串中显示绿线。

我已将此证书添加到邮件守护程序，它也已被 Exim 接受。

当某些客户端尝试通过邮件服务器使用 SSL/TLS 连接发送邮件时，邮件程序会显示“证书错误”，但会显示正确的可信信息。

客户端连接到主机名：mail.server.com，服务器的主机名是：ns1.server.com（未添加到证书中），邮件服务器说：220 ns1.site.com ESMTP Exim 4.73

测试的邮件客户端：iPAD 邮件客户端、Mozilla Thunderbird、Mac 邮件客户端

请帮忙。

更新：

Godaddy 的 ssl 检查器显示：SSL 信任链已损坏！

Answer 1

这里有几件事需要检查：

1. 邮件客户端在 TCP 连接中使用的主机名是否在服务器证书中列为主题专有名称的公用名 (CN)？

2. 如果不是，是否在主题备用名称 X509 v3 证书扩展中使用类型“DNS:”列出？

3. 如果以上都不是，您可能会收到“远程证书名称不匹配”（或类似名称的错误。）

4. 如果列出来，则查找证书的Issuer，以及Issuer的Issuer等，一直到链的根证书。根证书应安装在客户端计算机上，在您使用的任何客户端（Windows、Mozilla、Java 密钥库等）的“受信任的根”证书存储中

5. 如果根证书已安装，则查看中间证书，如果在链中（根证书和服务器证书之间）有任何证书。它们必须要么安装在本地，要么与服务器证书一起从服务器到达——要么服务器每次都发送它们，要么你已经在客户端安装了中间证书。无论哪种方式，他们都必须准备好接受服务器证书。

Answer 2

拒绝证书的客户端是否在其证书存储中具有适当的根证书？