Помогите разобраться.
Цепочка сертификата следующая: "*.site.ru"->"Sectigo RSA Domain Validation Secure Server CA"->"USERTrust RSA Certification Authority"->"AddTrust External CA Root"

Точно так же по этой цепочке был сформирован crt файл. Который был подключен в kerio connect и установлен как основной. Kerio виндовская версия
Такой же сертификат подключен на сайте у хостера. Айпи сайта на хостере и айпи mx записи отличаются.

при проверке через sslcheckers.com сайта компании - ошибок нет, вся цепочка проходит тестирование.
при проверке mx.site.ru, выходит ошибка на "AddTrust External CA Root"
sslshopper.com так же на mx.site.ru показывает цепочку не из 4-х, а трех сертификатов.
Служба поддержки хостера говорит, что необходимо на стороне mx.site.ru подключить "AddTrust External CA Root". В ОС данный сертификат присутствует, смотрел через консоль сертификатов ОС.
В общем по этой причине и не устанавливается SSL соединение.

при проверке mx.site.ru »
Проверке чем?
выходит ошибка на "AddTrust External CA Root" »
Какая ошибка?
sslshopper.com так же на mx.site.ru показывает цепочку не из 4-х, а трех сертификатов. »
Корневые сертификаты встроены в браузеры и в случае https не обязательны.

Проверке чем? »
https://www.sslchecker.com/sslchecker

Какая ошибка? »
Вот такого рода
depth=2 /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust R
SA Certification Authority
verify error:num=20:unable to get local issuer certificate
verify return:0

Цепочка сертификатов повторяю следующая
"*.site.ru"->"Sectigo RSA Domain Validation Secure Server CA"->"USERTrust RSA Certification Authority"->"AddTrust External CA Root"

Корневые сертификаты встроены в браузеры и в случае https не обязательны. »
вкурсе. но на всякий случай я повторно внедрил этот сертификат корневой.
есть подозрение, что kerio connect может не видеть его. машина на windows server 2016 и на ней поднят kerio connect

"AddTrust External CA Root" »
находится только в OS trust store или помещён в файл с остальными intermediate у kerio? (документация у них конечно атас)

находится только в OS trust store »
Находится только в OC.

или помещён в файл с остальными intermediate у kerio? (документация у них конечно атас) »
Гмм.... надо глянуть где вообще в керио это находится

Гмм.... надо глянуть где вообще в керио это находится »
https://www.ssl247.com/support/install/kerio-mail-server - может поможет.

https://www.ssl247.com/support/insta...io-mail-server - может поможет. »
делал по такой схеме. один фиг

вот, что происходит вообще.
машина на котором установлен Kerio Connect, в нем есть все корневые сертификаты. в самом Kerio установлен наш сертификат.
Из вне до этой машины прокинуты 443 и 993 порты, т.е. https и imaps
при проверке ссл соединения из вне по 443 порты - все тесты проходят нормально.
в логах сервера следующие записи
[30/May/2019 11:14:41][3224] {conn} Connection from 192.64.115.26:39080 to 192.168.1.215:443, socket 5908.
[30/May/2019 11:14:41][3224] {conn} SSL debug: id 0000000001D988A0 SSL handshake started: before/accept initialization
[30/May/2019 11:14:41][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:before/accept initialization
[30/May/2019 11:14:41][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:error in SSLv2/v3 read client hello A
[30/May/2019 11:14:41][3224] {conn} SSL debug: id 0000000001D988A0 Client requests server by name: mx.<site>.ru
[30/May/2019 11:14:41][3224] {conn} SSL debug: id 0000000001D988A0 Used default server context for connection by name: mx.<site>.ru
[30/May/2019 11:14:41][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 read client hello A
[30/May/2019 11:14:41][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 write server hello A
[30/May/2019 11:14:41][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 write certificate A
[30/May/2019 11:14:41][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 write key exchange A
[30/May/2019 11:14:41][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 write server done A
[30/May/2019 11:14:41][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 flush data
[30/May/2019 11:14:41][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:error in SSLv3 read client certificate A
[30/May/2019 11:14:41][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:error in SSLv3 read client certificate A
[30/May/2019 11:14:41][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 read client key exchange A
[30/May/2019 11:14:41][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 read certificate verify A
[30/May/2019 11:14:41][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 read finished A
[30/May/2019 11:14:41][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 write session ticket A
[30/May/2019 11:14:41][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 write change cipher spec A
[30/May/2019 11:14:41][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 write finished A
[30/May/2019 11:14:41][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 flush data
[30/May/2019 11:14:41][3224] {conn} SSL debug: id 0000000001D988A0 SSL handshake done: SSL negotiation finished successfully
[30/May/2019 11:14:41][3224] {conn} Established secure server connection from 192.64.115.26:39080 to 192.168.1.215:443 using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384, id 0000000008775E38
[30/May/2019 11:14:41][3224] {conn} SSL debug: id 0000000001D988A0 SSL3 alert write:warning:close notify
[30/May/2019 11:14:41][3224] {conn} Closing socket 5908
[30/May/2019 11:14:42][3224] {conn} Connection from 192.64.115.26:39082 to 192.168.1.215:443, socket 6312.
[30/May/2019 11:14:42][3224] {conn} SSL debug: id 0000000001D988A0 SSL handshake started: before/accept initialization
[30/May/2019 11:14:42][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:before/accept initialization
[30/May/2019 11:14:42][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:error in SSLv2/v3 read client hello A
[30/May/2019 11:14:42][3224] {conn} SSL debug: id 0000000001D988A0 Client requests server by name: mx.<site>.ru
[30/May/2019 11:14:42][3224] {conn} SSL debug: id 0000000001D988A0 Used default server context for connection by name: mx.<site>.ru
[30/May/2019 11:14:42][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 read client hello A
[30/May/2019 11:14:42][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 write server hello A
[30/May/2019 11:14:42][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 write certificate A
[30/May/2019 11:14:42][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 write key exchange A
[30/May/2019 11:14:42][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 write server done A
[30/May/2019 11:14:42][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 flush data
[30/May/2019 11:14:42][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:error in SSLv3 read client certificate A
[30/May/2019 11:14:42][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:error in SSLv3 read client certificate A
[30/May/2019 11:14:42][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 read client key exchange A
[30/May/2019 11:14:42][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 read certificate verify A
[30/May/2019 11:14:42][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 read finished A
[30/May/2019 11:14:42][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 write change cipher spec A
[30/May/2019 11:14:42][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 write finished A
[30/May/2019 11:14:42][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 flush data
[30/May/2019 11:14:42][3224] {conn} SSL debug: id 0000000001D988A0 SSL handshake done: SSL negotiation finished successfully
[30/May/2019 11:14:42][3224] {conn} Established secure server connection from 192.64.115.26:39082 to 192.168.1.215:443 using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384, id 0000000008775E38
[30/May/2019 11:14:42][3224] {conn} SSL debug: id 0000000001D988A0 SSL3 alert write:warning:close notify
[30/May/2019 11:14:42][3224] {conn} Closing socket 6312
[30/May/2019 11:14:43][3224] {conn} Connection from 192.64.115.26:39084 to 192.168.1.215:443, socket 5912.
[30/May/2019 11:14:43][3224] {conn} SSL debug: id 0000000001D988A0 SSL handshake started: before/accept initialization
[30/May/2019 11:14:43][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:before/accept initialization
[30/May/2019 11:14:43][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:error in SSLv2/v3 read client hello A
[30/May/2019 11:14:43][3224] {conn} SSL debug: id 0000000001D988A0 Client requests server by name: mx.<site>.ru
[30/May/2019 11:14:43][3224] {conn} SSL debug: id 0000000001D988A0 Used default server context for connection by name: mx.<site>.ru
[30/May/2019 11:14:43][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 read client hello A
[30/May/2019 11:14:43][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 write server hello A
[30/May/2019 11:14:43][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 write change cipher spec A
[30/May/2019 11:14:43][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 write finished A
[30/May/2019 11:14:43][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 flush data
[30/May/2019 11:14:43][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:error in SSLv3 read finished A
[30/May/2019 11:14:43][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:error in SSLv3 read finished A
[30/May/2019 11:14:43][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 read finished A
[30/May/2019 11:14:43][3224] {conn} SSL debug: id 0000000001D988A0 SSL handshake done: SSL negotiation finished successfully
[30/May/2019 11:14:43][3224] {conn} Established secure server connection from 192.64.115.26:39084 to 192.168.1.215:443 using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384, id 0000000008775E38
[30/May/2019 11:14:43][3224] {conn} SSL debug: id 0000000001D988A0 SSL3 alert write:warning:close notify
[30/May/2019 11:14:43][3224] {conn} Closing socket 5912
[30/May/2019 11:14:44][3224] {conn} Connection from 192.64.115.26:39086 to 192.168.1.215:443, socket 6084.
[30/May/2019 11:14:44][3224] {conn} SSL debug: id 0000000001D988A0 SSL handshake started: before/accept initialization
[30/May/2019 11:14:44][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:before/accept initialization
[30/May/2019 11:14:44][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:error in SSLv2/v3 read client hello A
[30/May/2019 11:14:44][3224] {conn} SSL debug: id 0000000001D988A0 Client requests server by name: mx.<site>.ru
[30/May/2019 11:14:44][3224] {conn} SSL debug: id 0000000001D988A0 Used default server context for connection by name: mx.<site>.ru
[30/May/2019 11:14:44][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 read client hello A
[30/May/2019 11:14:44][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 write server hello A
[30/May/2019 11:14:44][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 write change cipher spec A
[30/May/2019 11:14:44][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 write finished A
[30/May/2019 11:14:44][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 flush data
[30/May/2019 11:14:44][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:error in SSLv3 read finished A
[30/May/2019 11:14:44][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:error in SSLv3 read finished A
[30/May/2019 11:14:44][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 read finished A
[30/May/2019 11:14:44][3224] {conn} SSL debug: id 0000000001D988A0 SSL handshake done: SSL negotiation finished successfully
[30/May/2019 11:14:44][3224] {conn} Established secure server connection from 192.64.115.26:39086 to 192.168.1.215:443 using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384, id 0000000008775E38
[30/May/2019 11:14:44][3224] {conn} SSL debug: id 0000000001D988A0 SSL3 alert write:warning:close notify
[30/May/2019 11:14:44][3224] {conn} Closing socket 6084
[30/May/2019 11:14:45][3224] {conn} Connection from 192.64.115.26:39088 to 192.168.1.215:443, socket 5920.
[30/May/2019 11:14:45][3224] {conn} SSL debug: id 0000000001D988A0 SSL handshake started: before/accept initialization
[30/May/2019 11:14:45][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:before/accept initialization
[30/May/2019 11:14:45][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:error in SSLv2/v3 read client hello A
[30/May/2019 11:14:45][3224] {conn} SSL debug: id 0000000001D988A0 Client requests server by name: mx.<site>.ru
[30/May/2019 11:14:45][3224] {conn} SSL debug: id 0000000001D988A0 Used default server context for connection by name: mx.<site>.ru
[30/May/2019 11:14:45][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 read client hello A
[30/May/2019 11:14:45][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 write server hello A
[30/May/2019 11:14:45][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 write change cipher spec A
[30/May/2019 11:14:45][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 write finished A
[30/May/2019 11:14:45][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 flush data
[30/May/2019 11:14:45][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:error in SSLv3 read finished A
[30/May/2019 11:14:45][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:error in SSLv3 read finished A
[30/May/2019 11:14:45][3224] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 read finished A
[30/May/2019 11:14:45][3224] {conn} SSL debug: id 0000000001D988A0 SSL handshake done: SSL negotiation finished successfully
[30/May/2019 11:14:45][3224] {conn} Established secure server connection from 192.64.115.26:39088 to 192.168.1.215:443 using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384, id 0000000008775E38
[30/May/2019 11:14:45][3224] {conn} SSL debug: id 0000000001D988A0 SSL3 alert write:warning:close notify
[30/May/2019 11:14:45][3224] {conn} Closing socket 5920

по 993 порту - нет, тест зависает. тестирую через https://www.sslchecker.com/sslchecker
при этом на сервере в логах следующее
[30/May/2019 11:09:38][1172] {imaps} Task 18 handler BEGIN
[30/May/2019 11:09:38][1172] {conn} Connection from 192.64.115.26:40360 to 192.168.1.215:993, socket 6012.
[30/May/2019 11:09:38][1172] {conn} SSL debug: id 0000000001D988A0 SSL handshake started: before/accept initialization
[30/May/2019 11:09:38][1172] {conn} SSL debug: id 0000000001D988A0 SSL_accept:before/accept initialization
[30/May/2019 11:09:38][1172] {conn} SSL debug: id 0000000001D988A0 SSL_accept:error in SSLv2/v3 read client hello A
[30/May/2019 11:09:38][1172] {conn} SSL debug: id 0000000001D988A0 Client requests server by name: mx.<site>.ru
[30/May/2019 11:09:38][1172] {conn} SSL debug: id 0000000001D988A0 Used default server context for connection by name: mx.<site>.ru
[30/May/2019 11:09:38][1172] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 read client hello A
[30/May/2019 11:09:38][1172] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 write server hello A
[30/May/2019 11:09:38][1172] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 write certificate A
[30/May/2019 11:09:38][1172] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 write key exchange A
[30/May/2019 11:09:38][1172] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 write server done A
[30/May/2019 11:09:38][1172] {conn} SSL debug: id 0000000001D988A0 SSL_accept:SSLv3 flush data
[30/May/2019 11:09:38][1172] {conn} SSL debug: id 0000000001D988A0 SSL_accept:error in SSLv3 read client certificate A
[30/May/2019 11:10:25][1172] {conn} SSL debug: id 0000000001D988A0 SSL_accept:error in SSLv3 read client certificate A
[30/May/2019 11:10:25][1172] {conn} Cannot accept SSL connection from 192.64.115.26:40360 to 192.168.1.215:993: SSL code 5, system error: (0) Операция успешно завершена.
[30/May/2019 11:10:25][1172] {imaps} Task 18 handler END
[30/May/2019 11:10:25][1172] {conn} Closing socket 6012

Попробуйте провести тестовую imap-сессию сами –
openssl s_client -connect mx.site.ru:993

результары тетса. часть информации вырезал. та которая не интересная.

depth=2 C = US, ST = New Jersey, L = Jersey City, O = The USERTRUST Network, CN = USERTrust RSA Certification Authority
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=1 C = GB, ST = Greater Manchester, L = Salford, O = Sectigo Limited, CN = Sectigo RSA Domain Validation Secure Ser
ver CA
verify return:1
depth=0 OU = Domain Control Validated, OU = PositiveSSL Wildcard, CN = *.<site>.ru
verify return:1

CONNECTED(0000022C)
---
Certificate chain
0 s:OU = Domain Control Validated, OU = PositiveSSL Wildcard, CN = *.<site>.ru
i:C = GB, ST = Greater Manchester, L = Salford, O = Sectigo Limited, CN = Sectigo RSA Domain Validation Secure Server CA
1 s:C = GB, ST = Greater Manchester, L = Salford, O = Sectigo Limited, CN = Sectigo RSA Domain Validation Secure Server CA
i:C = US, ST = New Jersey, L = Jersey City, O = The USERTRUST Network, CN = USERTrust RSA Certification Authority
2 s:C = US, ST = New Jersey, L = Jersey City, O = The USERTRUST Network, CN = USERTrust RSA Certification Authority
i:C = SE, O = AddTrust AB, OU = AddTrust External TTP Network, CN = AddTrust External CA Root
---
Server certificate

subject=OU = Domain Control Validated, OU = PositiveSSL Wildcard, CN = *.<site>.ru

issuer=C = GB, ST = Greater Manchester, L = Salford, O = Sectigo Limited, CN = Sectigo RSA Domain Validation Secure Server CA

---
No client certificate CA names sent
Peer signing digest: SHA256
Peer signature type: RSA
Server Temp Key: ECDH, P-256, 256 bits
---
SSL handshake has read 5191 bytes and written 451 bytes
Verification error: unable to get local issuer certificate
---
New, TLSv1.2, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1.2
Cipher : ECDHE-RSA-AES256-GCM-SHA384
Session-ID: 1C725759C2B984A4B297B13323CE26F8AAC1692941E51AAA5BDC04D4B05A4EE3
Session-ID-ctx:
Master-Key: 6CDC5646D24A389FA0AC58135603E866FC65292A29E0BB79EBE23FCB5C000F8B78E5E0BD11AF9EC7442FCA645494ABC6
PSK identity: None
PSK identity hint: None
SRP username: None
TLS session ticket lifetime hint: 300 (seconds)
TLS session ticket:
0000 - a3 e5 36 c0 b0 3e b8 b3-f9 c3 6b 2f a3 b4 e2 9a ..6..>....k/....
0010 - 81 35 15 7a 4b dd 2e 0f-a0 b8 9d ac 9b 48 df 28 .5.zK........H.(
0020 - 1b a2 29 a1 2e 3b 49 35-5b 30 43 1d 06 84 9e 08 ..)..;I5[0C.....
0030 - 0a 4a 78 54 46 7a f5 12-83 82 f4 3a 41 22 4e 49 .JxTFz.....:A"NI
0040 - dc 28 cb 7b 70 7b cf 35-25 c0 12 f9 da aa 19 cd .(.{p{.5%.......
0050 - 57 f2 cd 6b de d4 6d a5-a0 f7 9e 1b bc 4d e8 da W..k..m......M..
0060 - 03 5b fc ce ca 0d d6 44-50 53 0b 13 3c 69 de d7 .[.....DPS..<i..
0070 - d8 50 ba e6 99 ae da d0-ab 4f 30 f1 0b 1c 36 9f .P.......O0...6.
0080 - fc c8 82 14 73 77 5d 23-e9 ee 00 71 54 63 11 ec ....sw]#...qTc..
0090 - 95 66 b8 4e c2 4a e1 df-54 c1 df 37 c2 4b eb 8e .f.N.J..T..7.K..
00a0 - d5 11 9a 32 18 3e f0 70-f0 cf d6 ea f2 4b e3 cc ...2.>.p.....K..
00b0 - f1 6d f2 81 3c 2f fe ca-b5 02 b9 a0 10 8c d6 22 .m..</........."

Start Time: 1559206636
Timeout : 7200 (sec)
Verify return code: 20 (unable to get local issuer certificate)
Extended master secret: no
---
* OK Kerio Connect 9.2.9 patch 1 IMAP4rev1 server ready



подозрительная запись тут
verify error:num=20:unable to get local issuer certificate

В Керио надо лепить конечный и промежуточные сертификаты в один, это было сделано?

If your certificate authority uses intermediate certificates, follow the steps in intermediate certificates before importing the certificate.
https://manuals.gfi.com/en/kerio/connect/content/server-configuration/ssl-certificates/configuring-ssl-certificates-in-kerio-connect-1132.html#sect-intermediate

В Керио надо лепить конечный и промежуточные сертификаты в один, это было сделано? »
да! я взял свой сертификат и в него в конце добавил вот эту цепочку

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----


после этот сертификат подключил через вебморду kerio connect, указав файл ключа
помимо этого в папку kerio\mailserver\sslca
были скопированы сертификаты SectigoRSADomainValidationSecureServerCA.crt , SectigoRSADomainValidationSecureServerCA.crt USERTrustRSAAddTrustCA.crt , AddTrustExternalCARoot.crt
которые кстати и есть в той цепочке
ну и после перезапушена служба керио

Прогоните этот тест, там много информации выдаётся:
https://www.ssllabs.com/ssltest/

Кстати, Керио Коннект выставлен напрямую в интернет, т.е., он сам принимает внешние подключения?

Прогоните этот тест, там много информации выдаётся:
https://www.ssllabs.com/ssltest/ »
чуть попозжее скажу результат. пока запустил тест.

Кстати, Керио Коннект выставлен напрямую в интернет, т.е., он сам принимает внешние подключения? »
IMAPS порты и HTTSP порты прокинуты напрямую на него, через маппинг
а, так машина еще через NAT выходит в инет. брендмауэр пока выключен

IMAPS порты и HTTSP порты »
А SMTP и SMTPS?

А SMTP и SMTPS? »
эти тоже замапены. просто задача состоит в IMAPS протоколе. Mail.ru не хочет подключаться по причине того, что не поднимается SSL соединение по 993 порту.

Прогоните этот тест, там много информации выдаётся:
https://www.ssllabs.com/ssltest/ »
Действительно, покакой-то причине выпадает корневой центр "AddTrust External CA Root" из цепочки. Хотя он его сертификат был внедрен в наш сертификат, по цепочке.
вот он https://support.comodo.com/index.php?/Knowledgebase/Article/View/854/75/root-addtrustexternalcaroot
http://forum.oszone.net/attachment.php?attachmentid=157670&stc=1&d=1559217612

Наверняка в цепочке ошибка.
Надо открывать конечный выданный вам сертификат и идти по его цепочке вверх, просматривая и записывая точные имена и даты действия всех сертификатов, которые входят в цепочку.

Наверняка в цепочке ошибка.
Надо открывать конечный выданный вам сертификат и идти по его цепочке вверх, просматривая и записывая точные имена и даты действия всех сертификатов, которые входят в цепочку. »
Так и делал! Выданный мне сертификат ссылается на SectigoRSADomainValidationSecureServerCA, который идет первым в цепочке, после моего, выданной мне эмитентом цепочке сертификатов.
Вот вся их цепочка. Можете проверить.
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

он в свою очередь ссылается на USERTrustRSAAddTrustCA, который в свою очередь на AddTrustExternalCARoot
Все промежуточные и корневой есть в контейнере сертификатов ОС (внедрил всюду где можно и где не можно ))), так же они есть в папке kerio sslca
и затык идет при проверке от USERTrustRSAAddTrustCA к AddTrustExternalCARoot

Прикрепил скриншоты, как выглядит цепочка сертификатов в kerio, тест сертификата на хостере и тест сертификата на kerio
В Kerio подключал сертификат, который состоит из моего сертификата плюс цепочка указанная тут.

Все проблема решилась!
Оказывается наш сертификат crt имел внутри себя скрытые символы. одним словом был не корректный сертификат.
его нам выслал эмитент.
после долгой переписки с техподдержкой, они на форуме выложили повторно сертификат. который отличался по размеру и по составу ))))
но самое прикольное что и первый определялся как наш сертификат и ссылался на USERTrustRSAAddTrustCA
после перегенерации цепочки - все заработало как надо

Оказывается наш сертификат crt имел внутри себя скрытые символы. одним словом был не корректный сертификат. »
Но цепочка ломалась не на нём же.
Любопытства ради, а что скажет
openssl x509 -in 1.crt -noout -text
где 1.crt файлик с вашим сертификатом в pem-формате?
Впрочем, хорошо, что разобрались.