私はdovecot-2.3.8-9.el8.x86_64鳩を運営しています。CentOS Linux release 8.5.2111
imap証明書がすぐに期限切れになると警告するnagiosチェックがあります。最近、私はそのような警告を受けました。
しかし、これは正確ではないようです。
PEM証明書で実際の証明書の有効期限を確認します。
# openssl x509 -enddate -noout -in cert.pem
notAfter=Apr 9 15:58:41 2023 GMT
次に、openssl を使用して物理ホストに接続し、証明書の有効期限を確認しました。
# openssl s_client -connect imap.myserver.net:993 | openssl x509 -noout -dates
depth=0 CN = imap.myserver.net
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 CN = imap.myserver.net
verify error:num=21:unable to verify the first certificate
verify return:1
depth=0 CN = imap.myserver.net
verify return:1
notBefore=Nov 10 08:44:28 2022 GMT
notAfter=Feb 8 08:44:27 2023 GMT
その後、鳩を再起動します。
systemctl restart dovecot
もう一度確認してください。
# openssl s_client -connect imap.myserver.net:993 | openssl x509 -noout -dates
depth=0 CN = imap.myserver.net
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 CN = imap.myserver.net
verify error:num=21:unable to verify the first certificate
verify return:1
depth=0 CN = imap.myserver.net
verify return:1
notBefore=Jan 9 15:58:42 2023 GMT
notAfter=Apr 9 15:58:41 2023 GMT
これで日付が正確になりました。ここで何が起こっているのでしょうか?これはDovecotのバグですか?
ベストアンサー1
他の多くのサーバー(nginx ...)と同様に、サーバーの証明書が変更された場合は、サーバーが新しい証明書を読み取れるようにサーバーを再起動する必要があります。図のように再起動すると問題が解決するため、これを見逃した可能性があります。