Serwer poczty vs Outlook Express

Haj. Postawiłem serwer pocztowy wg przepisu z http://www.howtoforge.com/perfect-server-centos-5.3-x86_64-ispconfig-3. Serwer pracuje w sieci lokalnej, porty nie są jeszcze wystawione na zewnątrz, po podłączeniu się klienta w postaci Outlook Expressa pojawia się komunikat:

Ostrzeżenie zabezpieczeń internetowych
Serwer, z którym masz połączenie, używa certyfikatu bezpieczeństwa, którego nie można sprawdzić. 
Łańcuch certyfikatów został przetworzony, ale operację przerwano na certyfikacie głównym, który nie należy do zaufanych dla dostawcy zaufania.

Oczywiście mam utworzone certyfikaty, jak sprawić, żeby były one akceptowane bez zastrzeżeń przez klienty poczty? Dodam, że nawet zainstalowanie certyfikatu na systemie klienta nic nie daje.

tak

tylko certyfikaty utworzone przez zaufanych dostawcow (thafte, verisign, ...) sa akceptowane bez zastrzeżeń. innych dostawców (chyba poprawki certyfikatów głownych maja cos z tym wspolnego) albo ich certyfikaty nalezy dodawać ręcznie

o ile ufasz swojej sieci możesz zrezygnować z ssla.

flabra napisał(a)

tak
o ile ufasz swojej sieci możesz zrezygnować z ssla.

To raczej nie wchodzi w grę, bo użytkownicy na pewno będą korzystać z poczty również z zewnątrz, więc ssl jest niezbędny. Wystarczyłaby mi akceptacja certyfikatu po zainstalowaniu go, ale nawet to nie działa :/

No jeżeli sam wystawiłeś certyfikat i sam go zweryfikowałeś jako zaufany to nie dziw się, że Outlook mu "nie ufa".
Jedyne wyjście to zainstalowanie certyfikatu dostawcy (czyli ciebie) w magazynie zaufanych urzędów certyfikacji na systemie klienta, który będzie korzystał z poczty - czyli u wszystkich użytkowników.

othello napisał(a)

Jedyne wyjście to zainstalowanie certyfikatu dostawcy (czyli ciebie) w magazynie zaufanych urzędów certyfikacji na systemie klienta, który będzie korzystał z poczty - czyli u wszystkich użytkowników.

Dobra, ściągam z serwera smtpd.c(e)rt, uruchamiam Outlooka, klik Identyfikatory cyfrowe... -> Importuj... -> w Kreatorze importu wybieram ww. plik, w magazynie certyfikatów wybieram Automatycznie wybierz magazyn..., po czym znajduję mój certyfikat w zakładce "Zaufane główne urzędy certyfikacji". W opcjach zaawansowanych wszystkie opcje są zahaczone, a stan certyfikatu: ten certyfikat jest prawidłowy. Uruchamiam OE jeszcze raz i znowu ten komunikat. Jak go pokonać poprzez import certyfikatu na klienta?

Edit:
Przeprowadziłem głębsze rozpoznanie w kwestii certyfikacji, ale ciągle tkwię w tym samym punkcie. Nie mniej jednak mam porównanie, co jest nie tak z moim certyfikatem. Tak wygląda test mojego certyfikatu:

[root@patmail postfix]# openssl s_client -starttls smtp -showcerts -connect 127.0.0.1:25
CONNECTED(00000003)
depth=0 /C=PL/ST=Lodzkie/L=Lodz/O=L*******/OU=LUW
verify error:num=18:self signed certificate
verify return:1
depth=0 /C=PL/ST=Lodzkie/L=Lodz/O=L******/OU=LUW
verify return:1
---
Certificate chain
 0 s:/C=PL/ST=Lodzkie/L=Lodz/O=L******/OU=LUW
   i:/C=PL/ST=Lodzkie/L=Lodz/O=L*****/OU=LUW
-----BEGIN CERTIFICATE-----
MIIEAzCCAuugAwIBAgIJALJLWN5K3qGHMA0GCSqGSIb3DQEBBQUAMF4xCzAJBgNV
...
05ftb/fpKnTh9jP8fb4SdB/2fZYFWM0=
-----END CERTIFICATE-----
---
Server certificate
subject=/C=PL/ST=Lodzkie/L=Lodz/O=L****/OU=LUW
issuer=/C=PL/ST=Lodzkie/L=Lodz/O=L****/OU=LUW
---
No client certificate CA names sent
---
SSL handshake has read 1963 bytes and written 351 bytes
---
New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
Server public key is 2048 bit
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1
    Cipher    : DHE-RSA-AES256-SHA
    Session-ID: 79EE2ED6418792F2349F088842791E08EE616FF7414E3888E0D29671819D5B3C
    Session-ID-ctx:
    Master-Key: 284A91D02D59E27AA4A00E343A3505ED1DEBBEF47C2352D26D239C388C971DA723B797010078F644278C556C6C497F52
    Key-Arg   : None
    Krb5 Principal: None
    Start Time: 1260284646
    Timeout   : 300 (sec)
    Verify return code: 18 (self signed certificate)

A tak wygląda certyfikat ładnie podpisany przez "prawdziwy" CA

[root@patmail postfix]# openssl s_client -starttls smtp -showcerts -connect tbd.lodz.pl:25
CONNECTED(00000003)
depth=1 /C=US/O=Equifax Secure Inc./CN=Equifax Secure Global eBusiness CA-1
verify return:1
depth=0 /C=PL/O=poczta.tbd.lodz.pl/OU=GT38771781/OU=See www.rapidssl.com/resources/cps (c)08/OU=Domain Control Validated - RapidSSL(R)/CN=poczta.tbd.lodz.pl
verify return:1
---
Certificate chain
 0 s:/C=PL/O=poczta.tbd.lodz.pl/OU=GT38771781/OU=See www.rapidssl.com/resources/cps (c)08/OU=Domain Control Validated - RapidSSL(R)/CN=poczta.tbd.lodz.pl
   i:/C=US/O=Equifax Secure Inc./CN=Equifax Secure Global eBusiness CA-1
-----BEGIN CERTIFICATE-----
MIIDUTCCArqgAwIBAgIDCBcxMA0GCSqGSIb3DQEBBAUAMFoxCzAJBgNVBAYTAlVT
...
tKPzwu2NTHk3Tx0G43HwergY8M6+ABW/Dy0KE1wV6wmeRIp3Mg==
-----END CERTIFICATE-----
---
Server certificate
subject=/C=PL/O=poczta.tbd.lodz.pl/OU=GT38771781/OU=See www.rapidssl.com/resources/cps (c)08/OU=Domain Control Validated - RapidSSL(R)/CN=poczta.tbd.lodz.pl
issuer=/C=US/O=Equifax Secure Inc./CN=Equifax Secure Global eBusiness CA-1
---
No client certificate CA names sent
---
SSL handshake has read 1672 bytes and written 351 bytes
---
New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
Server public key is 1024 bit
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1
    Cipher    : DHE-RSA-AES256-SHA
    Session-ID: 00A19E442189D5B8585BA7C5DE33464D66880838FBAE683897C804E3F5B85773
    Session-ID-ctx:
    Master-Key: E4D2E9B4E9E239D8D78F975BBF1EA2A6B876058976263598D9C01156B8C1EFBE2880BCF8F8DB04C2D206B2D549B82DD5
    Key-Arg   : None

Jak widać, różnica polega na tym, że certyfikuję się za jako CA poziomu 0 (depth=0), podczas gdy konkurencja ma certyfikat podpisany przez Equifax, gdzie depth=1. Czy ktoś ma pomysł, jak stworzyć swój własny certyfikat o poziomie 1?