YANO's digital garage

Copyright ©YANO All rights reserved. https://www.bravotouring.com/~yano/

Last-modified: 2023-01-25 (水)


[一語一絵/IT系]

StartSSL / 2014-05-09 (金)

2012年の12月、[External]Gmail[External]Mail Fetcher[External]オレオレ証明書を拒否する仕様になってしまい、mail.bravotouring.comにpop3s(995/TCP)で接続できなくなって困っていたのだが、[External]StartSSLからサーバ証明書を無料で発行して貰う事ができたのでメモしておく。

無料のサーバ証明書を入手する手順については[External]無料なのに正式なSSLサーバ証明書を導入してみた[External]StartSSLで無料のSSL証明書を取得してサーバーに適用するを参照。これまで何度か失敗を繰り返していたので1年半も掛かってしまったのだが、住所や電話番号を英語で正しく登録できれば30分ほどでmail.bravotouring.comのサーバ証明書が取得できる。

そして、さくらのVPSでの設定変更。[External]StartSSLで発行した暗号鍵をmail.bravotouring.com.key、サーバ証明書をssl-cert-mail.bravotouring.com.pemとしてファイル化したのだが、それぞれubuntu 10.04のセオリーに倣って/etc/ssl/private//etc/ssl/certs/に配置する。

まず一番に気になるapacheの設定ポイントは/etc/apache2/sites-available/mail.bravotouring.com-ssl

  SSLCertificateFile    /etc/ssl/certs/ssl-cert-mail.bravotouring.com.pem
  SSLCertificateKeyFile /etc/ssl/private/mail.bravotouring.com.key
が該当する。

そして、肝心のメールサーバはSMTPなpostfixの設定が/etc/postfix/main.cf

smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-mail.pem
smtpd_tls_key_file = /etc/ssl/private/ssl-mail.key
POP3なdovecotの設定が/etc/dovecot/conf.d/01-dovecot-postfix.conf
ssl_cert_file = /etc/ssl/certs/ssl-cert-mail.pem
ssl_key_file = /etc/ssl/private/ssl-mail.key
となっていたので、
$ su -
パスワード:
# cd /etc/ssl/private/
# rm ssl-mail.key
# ln -s mail.bravotouring.com.key ssl-mail.key
# cd /etc/ssl/certs/
# rm ssl-cert-mail.pem
# ln -s ssl-cert-mail.bravotouring.com.pem ssl-cert-mail.pem
としてシンボリックリンクを張り替えた後、
$ sudo service postfix restart
$ sudo service dovecot restart
でOK。

特にStartSSLの場合は中間証明書が必要なので、設定ファイルのsmtpd_tls_CA_filessl_ca_fileエントリでsub.class1.server.ca.pemの証明書を指定する必要があるらしいが、「自分のサーバ証明書にsub.class1.server.ca.pemの中間証明書を結合しておく」というのは眼から鱗なナイスアイディアと思う。

来年もGW明けには証明書の更新を忘れないようにする必要があるが、[External]StartSSL更新を行うに倣えば良さそうだ。取り敢えず、再インストールなどでコントロールパネルにアクセスする為のクライアント証明書を紛失しないようにしないとなぁ…

【参照】
●Gmail ヘルプ https://support.google.com/mail/
Mail Fetcher で別のアカウントからのメールを一元管理する
セキュリティで保護された接続(SSL)を使ってメールを取得する
●ミンキームーンネットワーク http://minkymoon.jp/
無料なのに正式なSSLサーバ証明書を導入してみた 2013年1月26日
●くずのは探偵事務所 http://www.kyoji-kuzunoha.com/
StartSSLで無料のSSL証明書を取得してサーバーに適用する 2013年8月11日
●The hacker in the rye http://yanmoo.blogspot.jp/
StartSSL更新を行う 2013年4月14日
●スラッシュドット・ジャパン http://slashdot.jp/
Google、Gmail の POP3 フェッチ機能でオレオレ証明書を拒否する仕様に 2012年12月19日
●StartSSL https://www.startssl.com/