>Доброго времени.
>Согласно этого документа
>http://wiki.dovecot.org/DovecotLDAPostfixAdminMySQL
>настраиваю почтовый сервер.
>Операционная система - Linux Fedora Core 6
>
>Застрял здесь
>-------------------------------
>Now configure Dovecot itself. We list only where we change something in
>the default config. We useCACert certificates for SSL (that's outside of
>the scope of this docs), but you can use the default
>self-signed certs also. Here is our /etc/dovecot.conf everything else is commented
>out:
>
>ssl_cert_file = /etc/pki/dovecot/certs/myserver.example.com.crt
>ssl_key_file = /etc/pki/dovecot/private/myserver.example.com.key
>ssl_ca_file = /etc/pki/dovecot/certs/ca-bundle.crt
>-------------------------------
>
>как сделать сертификаты, необходимые для работы?
>(на cacert.org зарегистрировался.
>Пробую получить сертификат - нужны данные CSR
>насколько я понял их можно сгенерировать с помощью openssl)
>
>как можно обойтись без cacert.org?
>как самому сделать свои сертификаты для этого how-to правильно?
>
>заранее благодарю.
я делаю так:
сперва редактирую openssl.cnf (раздел req_distinguished_name)
ставлю по дефолту название страны, региона, конторы и т.д.
(чтобы при генерации сертификатов все это руками не вводить)
countryName_default = RU
stateOrProvinceName_default = Tomsk region
localityName_default = Tomsk
0.organizationName_default = Tomsk State University
organizationalUnitName_default = Department of ....
commonName_default = Server CA
emailAddress_default = xxx@xxx.host.ru
далее, там есть скрипт CA.pl или CA.sh, его и используем
CA.pl -newca - делаем сертификат своего собственного центра сертификации
CA.pl -newreq - делаем сертификационный запрос для некоего сервиса
CA.pl -sign - подписываем его нашим корневым сертификатом
для корневого сертификата в качестве commonName можно задать что угодно
для целевого сертификата в качестве commonName необходимо указать доменное имя хоста, на котором этот сервис будет работать
можно сделать мультидоменный сертификат, тогда в openssl.cnf (раздел usr_cert)
добавляем что-то похожее на (в качестве примера)
subjectAltName=DNS:xxx.host.ru, DNS:mail.xxx.host.ru, DNS:mail.localnet
и в качестве commonName для этого сертификата уже можно задать что угодно,
например ---> XXX.HOST Mail Server
в результате ваших деяний будут созданы два файла: newcert.pem и newkey.pem (открытая/публичная и закрытая/секретная часть сертификата)
их можно переименовать как вам нравится, например так:
cp newcert.pem mail.crt
cp newkey.pem mail.key
сертификат будет закрыт паролем, это не всегда удобно, тогда следует его расшифровать
openssl rsa -in newkey.pem -out mail.key
обе части сертификата можно обьеденить в один файл
и наконец эти файлы следует переместить куда следует (например в /etc/certs) а в конфиге соответствующего сервера указать их местоположение
если что непонятно или осталось за кадром - пишите