The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"ssl сертификаты для почты"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Почта / Linux)
Изначальное сообщение [ Отслеживать ]

"ssl сертификаты для почты"  +/
Сообщение от nix_test email(ok) on 11-Мрт-07, 09:14 
Доброго времени.
Согласно этого документа
http://wiki.dovecot.org/DovecotLDAPostfixAdminMySQL
настраиваю почтовый сервер.
Операционная система - Linux Fedora Core 6

Застрял здесь
-------------------------------
Now configure Dovecot itself. We list only where we change something in the default config. We useCACert certificates for SSL (that's outside of the scope of this docs), but you can use the default self-signed certs also. Here is our /etc/dovecot.conf everything else is commented out:

ssl_cert_file = /etc/pki/dovecot/certs/myserver.example.com.crt
ssl_key_file = /etc/pki/dovecot/private/myserver.example.com.key
ssl_ca_file = /etc/pki/dovecot/certs/ca-bundle.crt
-------------------------------

как сделать сертификаты, необходимые для работы?
(на cacert.org зарегистрировался.
Пробую получить сертификат - нужны данные CSR
насколько я понял их можно сгенерировать с помощью openssl)

как можно обойтись без cacert.org?
как самому сделать свои сертификаты для этого how-to правильно?

заранее благодарю.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "ssl сертификаты для почты"  +/
Сообщение от Александр (??) on 11-Мрт-07, 14:07 
>Доброго времени.
>Согласно этого документа
>http://wiki.dovecot.org/DovecotLDAPostfixAdminMySQL
>настраиваю почтовый сервер.
>Операционная система - Linux Fedora Core 6
>
>Застрял здесь
>-------------------------------
>Now configure Dovecot itself. We list only where we change something in
>the default config. We useCACert certificates for SSL (that's outside of
>the scope of this docs), but you can use the default
>self-signed certs also. Here is our /etc/dovecot.conf everything else is commented
>out:
>
>ssl_cert_file = /etc/pki/dovecot/certs/myserver.example.com.crt
>ssl_key_file = /etc/pki/dovecot/private/myserver.example.com.key
>ssl_ca_file = /etc/pki/dovecot/certs/ca-bundle.crt
>-------------------------------
>
>как сделать сертификаты, необходимые для работы?
>(на cacert.org зарегистрировался.
>Пробую получить сертификат - нужны данные CSR
>насколько я понял их можно сгенерировать с помощью openssl)
>
>как можно обойтись без cacert.org?
>как самому сделать свои сертификаты для этого how-to правильно?
>
>заранее благодарю.


я делаю так:

сперва редактирую openssl.cnf (раздел req_distinguished_name)
ставлю по дефолту название страны, региона, конторы и т.д.
(чтобы при генерации сертификатов все это руками не вводить)

countryName_default             = RU                                            
stateOrProvinceName_default     = Tomsk region                                  
localityName_default            = Tomsk                                        
0.organizationName_default      = Tomsk State University
organizationalUnitName_default  = Department of ....
commonName_default              = Server CA                          
emailAddress_default            = xxx@xxx.host.ru                          

далее, там есть скрипт CA.pl или CA.sh, его и используем

CA.pl -newca       - делаем сертификат своего собственного центра сертификации
CA.pl -newreq      - делаем сертификационный запрос для некоего сервиса
CA.pl -sign        - подписываем его нашим корневым сертификатом

для корневого сертификата в качестве commonName можно задать что угодно
для целевого сертификата в качестве commonName необходимо указать доменное имя хоста, на котором этот сервис будет работать

можно сделать мультидоменный сертификат, тогда в openssl.cnf (раздел usr_cert)
добавляем что-то похожее на (в качестве примера)
subjectAltName=DNS:xxx.host.ru, DNS:mail.xxx.host.ru, DNS:mail.localnet
и в качестве commonName для этого сертификата уже можно задать что угодно,
например --->    XXX.HOST Mail Server


в результате ваших деяний будут созданы два файла: newcert.pem и newkey.pem (открытая/публичная и закрытая/секретная часть сертификата)
их можно переименовать как вам нравится, например так:
cp newcert.pem mail.crt
cp newkey.pem mail.key

сертификат будет закрыт паролем, это не всегда удобно, тогда следует его расшифровать
openssl rsa -in newkey.pem -out mail.key

обе части сертификата можно обьеденить в один файл
и наконец эти файлы следует переместить куда следует (например в /etc/certs) а в конфиге соответствующего сервера указать их местоположение

если что непонятно или осталось за кадром - пишите


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "ssl сертификаты для почты"  +/
Сообщение от Александр (??) on 11-Мрт-07, 14:24 
маленькая добавочка - если вы будете использовать "самопальные" сертификаты, то ваш почтовый клиент (или браузер) будет регулярно предупреждать, что он "не знает" центр сертификации, выдавший этот сертификат

чтобы это сообщение не доставало, нужно взять открытую часть корневого сертификата (файл cacert.pem), любым способом перетащить на все рабочие машины и ручками добавить в реестр корневых сертификатов каждого браузера и почтового клиента, с которыми будете работать

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "ssl сертификаты для почты"  +/
Сообщение от nix_test email(ok) on 11-Мрт-07, 16:26 
Александр, спасибо за подробный ответ! сейчас буду пробовать.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "ssl сертификаты для почты"  +/
Сообщение от Igor79 email on 18-Авг-13, 09:41 
Успешно продвигаю сайты в системе Юзератор.? Результат заметен уже через месяц. Регистрируйтесь, реальная тема
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру