使用ProtonBridge和mbsync获取自签名证书错误

Question

我试图使用isync设置ProtonBridge并获得以下错误：

SSL error connecting 127.0.0.1 (127.0.0.1:1143): self signed certificate

我知道这是本地主机，因此我们提供的证书是自签名的。例如，在任何其他电子邮件客户端中，以Thunderbird为例，这是一个确认端口1143 on 127.0.0.1.的安全异常的问题，详见步骤5 这里。我完全不明白的是，如何在mbsync中做到这一点。这是我的.msyncrc

IMAPStore someuser-remote
Host 127.0.0.1
Port 1143
User info@someuser.net
Pass protonbridgepassword
SSLType STARTTLS
CertificateFile /etc/ssl/certs/ca-certificates.crt

MaildirStore user-local
Path ~/Mail/
Inbox ~/Mail/INBOX
Subfolders Verbatim
Flatten .

Channel user
Master :user-remote:
Slave :user-local:
Create Both
Expunge Both
Patterns *
SyncState *

尝试了选项SystemCertificates no，但也没有效果。以下是完整的日志：

Reading configuration file /home/user/.mbsyncrc
C: 0/1  B: 0/0  M: +0/0 *0/0 #0/0  S: +0/0 *0/0 #0/0
Channel user
Opening master store user-remote...
Resolving 127.0.0.1... ok
Connecting to 127.0.0.1 (127.0.0.1:1143)... 
Opening slave store user-local...
SSL error connecting 127.0.0.1 (127.0.0.1:1143): self signed certificate
C: 1/1  B: 0/0  M: +0/0 *0/0 #0/0  S: +0/0 *0/0 #0/0

Answer 1

正如在上面的评论中所提到的，我确认直接指向尾尾桥的证书是有效的。

所以您只需将以下内容添加到您的.mbsyncrc中

CertificateFile ~/.config/protonmail/bridge/cert.pem

Answer 2

您需要复制ProtonBridge的证书，如这里在Step #1: Get the certificates中解释的那样。但是，openssl命令有点不同，因为您需要在连接到本地服务器时指定STARTTLS协议：

openssl s_client -starttls imap -connect 127.0.0.1:1143 -showcerts

它应该会给你一些这样的东西：

CONNECTED(00000003)
depth=0 C = CH, O = Proton Technologies AG, OU = ProtonMail, CN = 127.0.0.1
verify error:num=18:self signed certificate
verify return:1
depth=0 C = CH, O = Proton Technologies AG, OU = ProtonMail, CN = 127.0.0.1
verify return:1
---
Certificate chain
 0 s:/C=CH/O=Proton Technologies AG/OU=ProtonMail/CN=127.0.0.1
   i:/C=CH/O=Proton Technologies AG/OU=ProtonMail/CN=127.0.0.1
-----BEGIN CERTIFICATE-----
MIIDizCCAnOgAwIBAgIQBW7/mrcQcB5Iu1POkJ3YNzANBgkqhkiG9w0BAQsFADBX
MQswCQYDVQQGEwJDSDEfMB0GA1UEChMWUHJvdG9uIFRlY2hub2xvZ2llcyBBRzET

(...)

kNvCZidKp31PdIO9IzQn2cI86f2mo1a+ad5dsd1HU4ZB+B3nMiWbQizaFmD3MrgO
cR/KRJtxKTcXQCBLqIi+t2sDFQ8uozs0xYbGHDrCPgCayZLfAVxGCwP2LANnQKw=
-----END CERTIFICATE-----
---
Server certificate
subject=/C=CH/O=Proton Technologies AG/OU=ProtonMail/CN=127.0.0.1
issuer=/C=CH/O=Proton Technologies AG/OU=ProtonMail/CN=127.0.0.1
---
Acceptable client certificate CA names
/C=CH/O=Proton Technologies AG/OU=ProtonMail/CN=127.0.0.1
Client Certificate Types: RSA sign, ECDSA sign
Requested Signature Algorithms:

(...)

复制以-----BEGIN CERTIFICATE-----开头并以-----END CERTIFICATE-----结尾的第一个块，将其粘贴到文件中并以.pem扩展名保存。假设您将其命名为protonbridge.pem，随后将其保存在/etc/ssl/certs/中，则需要将其添加到~/mbsyncrc文件中：

CertificateFile /etc/ssl/certs/protonbridge.pem

应该是这样，您现在应该能够同步了。我似乎不必复制根颁发者证书，在链接中的步骤1的末尾解释了这一点。如果您执行mbsync -l channel-name，您将看到要同步的所有邮箱的列表。如果您不希望Protonmail帐户中的所有文件夹同步，包括一个名为"All Mail“的文件夹，您可能希望添加Patterns INBOX Sent！

Answer 3

我确认使用Thunderbird版本91.8.1 (64位)和Proton v2.1.1，您可以在程序和发送邮件工作时将SMTP安全设置更改为SSL/TLS。