форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (Почта / Linux)
Изначальное сообщение		[ Отслеживать ]

"ssl сертификаты для почты"	+/–
Сообщение от nix_test (ok) on 11-Мрт-07, 09:14
Доброго времени. Согласно этого документа http://wiki.dovecot.org/DovecotLDAPostfixAdminMySQL настраиваю почтовый сервер. Операционная система - Linux Fedora Core 6 Застрял здесь ------------------------------- Now configure Dovecot itself. We list only where we change something in the default config. We useCACert certificates for SSL (that's outside of the scope of this docs), but you can use the default self-signed certs also. Here is our /etc/dovecot.conf everything else is commented out: ssl_cert_file = /etc/pki/dovecot/certs/myserver.example.com.crt ssl_key_file = /etc/pki/dovecot/private/myserver.example.com.key ssl_ca_file = /etc/pki/dovecot/certs/ca-bundle.crt ------------------------------- как сделать сертификаты, необходимые для работы? (на cacert.org зарегистрировался. Пробую получить сертификат - нужны данные CSR насколько я понял их можно сгенерировать с помощью openssl) как можно обойтись без cacert.org? как самому сделать свои сертификаты для этого how-to правильно? заранее благодарю.
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "ssl сертификаты для почты"	+/–
Сообщение от Александр (??) on 11-Мрт-07, 14:07
>Доброго времени. >Согласно этого документа >http://wiki.dovecot.org/DovecotLDAPostfixAdminMySQL >настраиваю почтовый сервер. >Операционная система - Linux Fedora Core 6 > >Застрял здесь >------------------------------- >Now configure Dovecot itself. We list only where we change something in >the default config. We useCACert certificates for SSL (that's outside of >the scope of this docs), but you can use the default >self-signed certs also. Here is our /etc/dovecot.conf everything else is commented >out: > >ssl_cert_file = /etc/pki/dovecot/certs/myserver.example.com.crt >ssl_key_file = /etc/pki/dovecot/private/myserver.example.com.key >ssl_ca_file = /etc/pki/dovecot/certs/ca-bundle.crt >------------------------------- > >как сделать сертификаты, необходимые для работы? >(на cacert.org зарегистрировался. >Пробую получить сертификат - нужны данные CSR >насколько я понял их можно сгенерировать с помощью openssl) > >как можно обойтись без cacert.org? >как самому сделать свои сертификаты для этого how-to правильно? > >заранее благодарю. я делаю так: сперва редактирую openssl.cnf (раздел req_distinguished_name) ставлю по дефолту название страны, региона, конторы и т.д. (чтобы при генерации сертификатов все это руками не вводить) countryName_default             = RU                                             stateOrProvinceName_default     = Tomsk region                                   localityName_default            = Tomsk                                         0.organizationName_default      = Tomsk State University organizationalUnitName_default  = Department of .... commonName_default              = Server CA                           emailAddress_default            = xxx@xxx.host.ru                           далее, там есть скрипт CA.pl или CA.sh, его и используем CA.pl -newca       - делаем сертификат своего собственного центра сертификации CA.pl -newreq      - делаем сертификационный запрос для некоего сервиса CA.pl -sign        - подписываем его нашим корневым сертификатом для корневого сертификата в качестве commonName можно задать что угодно для целевого сертификата в качестве commonName необходимо указать доменное имя хоста, на котором этот сервис будет работать можно сделать мультидоменный сертификат, тогда в openssl.cnf (раздел usr_cert) добавляем что-то похожее на (в качестве примера) subjectAltName=DNS:xxx.host.ru, DNS:mail.xxx.host.ru, DNS:mail.localnet и в качестве commonName для этого сертификата уже можно задать что угодно, например --->    XXX.HOST Mail Server в результате ваших деяний будут созданы два файла: newcert.pem и newkey.pem (открытая/публичная и закрытая/секретная часть сертификата) их можно переименовать как вам нравится, например так: cp newcert.pem mail.crt cp newkey.pem mail.key сертификат будет закрыт паролем, это не всегда удобно, тогда следует его расшифровать openssl rsa -in newkey.pem -out mail.key обе части сертификата можно обьеденить в один файл и наконец эти файлы следует переместить куда следует (например в /etc/certs) а в конфиге соответствующего сервера указать их местоположение если что непонятно или осталось за кадром - пишите
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "ssl сертификаты для почты"	+/–
Сообщение от Александр (??) on 11-Мрт-07, 14:24
маленькая добавочка - если вы будете использовать "самопальные" сертификаты, то ваш почтовый клиент (или браузер) будет регулярно предупреждать, что он "не знает" центр сертификации, выдавший этот сертификат чтобы это сообщение не доставало, нужно взять открытую часть корневого сертификата (файл cacert.pem), любым способом перетащить на все рабочие машины и ручками добавить в реестр корневых сертификатов каждого браузера и почтового клиента, с которыми будете работать
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	3. "ssl сертификаты для почты"	+/–
	Сообщение от nix_test (ok) on 11-Мрт-07, 16:26
	Александр, спасибо за подробный ответ! сейчас буду пробовать.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "ssl сертификаты для почты"	+/–
Сообщение от Igor79 on 18-Авг-13, 09:41
Успешно продвигаю сайты в системе Юзератор.? Результат заметен уже через месяц. Регистрируйтесь, реальная тема
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема