2012年の12月、GmailのMail Fetcherがオレオレ証明書を拒否する仕様になってしまい、mail.bravotouring.comにpop3s(995/TCP)で接続できなくなって困っていたのだが、StartSSLからサーバ証明書を無料で発行して貰う事ができたのでメモしておく。
無料のサーバ証明書を入手する手順については無料なのに正式なSSLサーバ証明書を導入してみたやStartSSLで無料のSSL証明書を取得してサーバーに適用するを参照。これまで何度か失敗を繰り返していたので1年半も掛かってしまったのだが、住所や電話番号を英語で正しく登録できれば30分ほどでmail.bravotouring.comのサーバ証明書が取得できる。
そして、さくらのVPSでの設定変更。StartSSLで発行した暗号鍵をmail.bravotouring.com.key、サーバ証明書をssl-cert-mail.bravotouring.com.pemとしてファイル化したのだが、それぞれubuntu 10.04のセオリーに倣って/etc/ssl/private/と/etc/ssl/certs/に配置する。
まず一番に気になるapacheの設定ポイントは/etc/apache2/sites-available/mail.bravotouring.com-sslの
SSLCertificateFile /etc/ssl/certs/ssl-cert-mail.bravotouring.com.pemが該当する。
SSLCertificateKeyFile /etc/ssl/private/mail.bravotouring.com.key
そして、肝心のメールサーバはSMTPなpostfixの設定が/etc/postfix/main.cfで
smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-mail.pemPOP3なdovecotの設定が/etc/dovecot/conf.d/01-dovecot-postfix.confで
smtpd_tls_key_file = /etc/ssl/private/ssl-mail.key
ssl_cert_file = /etc/ssl/certs/ssl-cert-mail.pemとなっていたので、
ssl_key_file = /etc/ssl/private/ssl-mail.key
$ su -としてシンボリックリンクを張り替えた後、
パスワード:
# cd /etc/ssl/private/
# rm ssl-mail.key
# ln -s mail.bravotouring.com.key ssl-mail.key
# cd /etc/ssl/certs/
# rm ssl-cert-mail.pem
# ln -s ssl-cert-mail.bravotouring.com.pem ssl-cert-mail.pem
$ sudo service postfix restartでOK。
$ sudo service dovecot restart
特にStartSSLの場合は中間証明書が必要なので、設定ファイルのsmtpd_tls_CA_fileやssl_ca_fileエントリでsub.class1.server.ca.pemの証明書を指定する必要があるらしいが、「自分のサーバ証明書にsub.class1.server.ca.pemの中間証明書を結合しておく」というのは眼から鱗なナイスアイディアと思う。
来年もGW明けには証明書の更新を忘れないようにする必要があるが、StartSSL更新を行うに倣えば良さそうだ。取り敢えず、再インストールなどでコントロールパネルにアクセスする為のクライアント証明書を紛失しないようにしないとなぁ…
【参照】
●Gmail ヘルプ https://support.google.com/mail/
┣Mail Fetcher で別のアカウントからのメールを一元管理する
┗セキュリティで保護された接続(SSL)を使ってメールを取得する
●ミンキームーンネットワーク http://minkymoon.jp/
┗無料なのに正式なSSLサーバ証明書を導入してみた 2013年1月26日
●くずのは探偵事務所 http://www.kyoji-kuzunoha.com/
┗StartSSLで無料のSSL証明書を取得してサーバーに適用する 2013年8月11日
●The hacker in the rye http://yanmoo.blogspot.jp/
┗StartSSL更新を行う 2013年4月14日
●スラッシュドット・ジャパン http://slashdot.jp/
┗Google、Gmail の POP3 フェッチ機能でオレオレ証明書を拒否する仕様に 2012年12月19日
●StartSSL https://www.startssl.com/