https://www.bravotouring.com/~yano/archives/2014/05/09/ Recent content in 2014/05/09 on Yano's digital garage Hugo en-us Fri, 09 May 2014 23:34:24 +0900 https://www.bravotouring.com/~yano/diary/it/20140509startssl.htm Fri, 09 May 2014 23:34:24 +0900 https://www.bravotouring.com/~yano/diary/it/20140509startssl.htm <p>2012年の12月、<a href="https://mail.google.com/">Gmail</a>の<a href="https://support.google.com/mail/answer/21289?hl=ja">Mail Fetcher</a>が<a href="http://security.slashdot.jp/story/12/12/19/0027243/Google%E3%80%81Gmail-%E3%81%AE-POP3-%E3%83%95%E3%82%A7%E3%83%83%E3%83%81%E6%A9%9F%E8%83%BD%E3%81%A7%E3%82%AA%E3%83%AC%E3%82%AA%E3%83%AC%E8%A8%BC%E6%98%8E%E6%9B%B8%E3%82%92%E6%8B%92%E5%90%A6%E3%81%99%E3%82%8B%E4%BB%95%E6%A7%98%E3%81%AB">オレオレ証明書を拒否する仕様に</a>なってしまい、mail.bravotouring.comに<span class="Software">pop3s</span>(995/TCP)で接続できなくなって困っていたのだが、<a href="https://www.startssl.com/">StartSSL</a>からサーバ証明書を無料で発行して貰う事ができたのでメモしておく。</p> <p>無料のサーバ証明書を入手する手順については<a href="http://minkymoon.jp/2013/01/26/%E7%84%A1%E6%96%99%E3%81%AA%E3%81%AE%E3%81%AB%E6%AD%A3%E5%BC%8F%E3%81%AAssl%E3%82%B5%E3%83%BC%E3%83%90%E8%A8%BC%E6%98%8E%E6%9B%B8%E3%82%92%E5%B0%8E%E5%85%A5%E3%81%97%E3%81%A6%E3%81%BF%E3%81%9F/">無料なのに正式なSSLサーバ証明書を導入してみた</a>や<a href="http://www.kyoji-kuzunoha.com/2013/08/startssl-certificate.html">StartSSLで無料のSSL証明書を取得してサーバーに適用する</a>を参照。これまで何度か失敗を繰り返していたので1年半も掛かってしまったのだが、住所や電話番号を英語で正しく登録できれば30分ほどでmail.bravotouring.comのサーバ証明書が取得できる。</p> <p>そして、<a href="https://www.bravotouring.com/~yano/diary/it/20120508vps.htm">さくらのVPS</a>での設定変更。<a href="https://www.startssl.com/">StartSSL</a>で発行した暗号鍵を<span class="Topics">mail.bravotouring.com.key</span>、サーバ証明書を<span class="Topics">ssl-cert-mail.bravotouring.com.pem</span>としてファイル化したのだが、それぞれ<span class="Software">ubuntu 10.04</span>のセオリーに倣って<span class="Path">/etc/ssl/private/</span>と<span class="Path">/etc/ssl/certs/</span>に配置する。</p> <p>まず一番に気になる<span class="Software">apache</span>の設定ポイントは<span class="Path">/etc/apache2/sites-available/mail.bravotouring.com-ssl</span>の<blockquote cite="/etc/apache2/sites-available/mail.bravotouring.com-ssl" class="Log"> <span class="Strong">SSLCertificateFile</span> /etc/ssl/certs/<span class="Topics">ssl-cert-mail.bravotouring.com.pem</span><br/> <span class="Strong">SSLCertificateKeyFile</span> /etc/ssl/private/<span class="Topics">mail.bravotouring.com.key</span></blockquote>が該当する。</p> <p>そして、肝心のメールサーバはSMTPな<span class="Software">postfix</span>の設定が<span class="Path">/etc/postfix/main.cf</span>で <blockquote cite="/etc/postfix/main.cf" class="Log"> <span class="Strong">smtpd_tls_cert_file</span> = <span class="Path">/etc/ssl/certs/ssl-cert-mail.pem</span><br/> <span class="Strong">smtpd_tls_key_file</span> = <span class="Path">/etc/ssl/private/ssl-mail.key</span> </blockquote> POP3な<span class="Software">dovecot</span>の設定が<span class="Path">/etc/dovecot/conf.d/01-dovecot-postfix.conf</span>で <blockquote cite="/etc/dovecot/conf.d/01-dovecot-postfix.conf" class="Log"> <span class="Strong">ssl_cert_file</span> = <span class="Path">/etc/ssl/certs/ssl-cert-mail.pem</span><br/> <span class="Strong">ssl_key_file</span> = <span class="Path">/etc/ssl/private/ssl-mail.key</span></blockquote> となっていたので、 <blockquote class="Log"> $ su -<br/> パスワード:<br/> # cd /etc/ssl/private/<br/> # <span class="Warning">rm</span> <span class="Path">ssl-mail.key</span><br/> # ln -s <span class="Topics">mail.bravotouring.com.key</span> <span class="Path">ssl-mail.key</span><br/> # cd /etc/ssl/certs/<br/> # <span class="Warning">rm</span> <span class="Path">ssl-cert-mail.pem</span><br/> # ln -s <span class="Topics">ssl-cert-mail.bravotouring.com.pem</span> <span class="Path">ssl-cert-mail.pem</span> </blockquote>としてシンボリックリンクを張り替えた後、<blockquote class="Log">$ sudo service postfix restart<br/>$ sudo service dovecot restart</blockquote>でOK。</p> <p>特にStartSSLの場合は中間証明書が必要なので、設定ファイルの<span class="Strong">smtpd_tls_CA_file</span>や<span class="Strong">ssl_ca_file</span>エントリで<span class="Path">sub.class1.server.ca.pem</span>の証明書を指定する必要があるらしいが、「自分のサーバ証明書にsub.class1.server.ca.pemの中間証明書を結合しておく」というのは眼から鱗なナイスアイディアと思う。</p> <p>来年もGW明けには証明書の更新を忘れないようにする必要があるが、<a href="http://yanmoo.blogspot.jp/2013/04/startssl.html">StartSSL更新を行う</a>に倣えば良さそうだ。取り敢えず、再インストールなどでコントロールパネルにアクセスする為のクライアント証明書を紛失しないようにしないとなぁ…</p> <p class="Reference">【参照】 <br/>●Gmail ヘルプ <a href="https://support.google.com/mail/">https://support.google.com/mail/</a> <br/>┣<a href="https://support.google.com/mail/answer/21289?hl=ja">Mail Fetcher で別のアカウントからのメールを一元管理する</a> <br/>┗<a href="https://support.google.com/mail/answer/21291?hl=ja">セキュリティで保護された接続（SSL）を使ってメールを取得する</a> <br/>●ミンキームーンネットワーク <a href="http://minkymoon.jp/">http://minkymoon.jp/</a> <br/>┗<a href="http://minkymoon.jp/2013/01/26/%E7%84%A1%E6%96%99%E3%81%AA%E3%81%AE%E3%81%AB%E6%AD%A3%E5%BC%8F%E3%81%AAssl%E3%82%B5%E3%83%BC%E3%83%90%E8%A8%BC%E6%98%8E%E6%9B%B8%E3%82%92%E5%B0%8E%E5%85%A5%E3%81%97%E3%81%A6%E3%81%BF%E3%81%9F/">無料なのに正式なSSLサーバ証明書を導入してみた</a> 2013年1月26日 <br/>●くずのは探偵事務所 <a href="http://www.kyoji-kuzunoha.com/">http://www.kyoji-kuzunoha.com/</a> <br/>┗<a href="http://www.kyoji-kuzunoha.com/2013/08/startssl-certificate.html">StartSSLで無料のSSL証明書を取得してサーバーに適用する</a> 2013年8月11日 <br/>●The hacker in the rye <a href="http://yanmoo.blogspot.jp/">http://yanmoo.blogspot.jp/</a> <br/>┗<a href="http://yanmoo.blogspot.jp/2013/04/startssl.html">StartSSL更新を行う</a> 2013年4月14日 <br/>●スラッシュドット・ジャパン <a href="http://slashdot.jp/">http://slashdot.jp/</a> <br/>┗<a href="http://security.slashdot.jp/story/12/12/19/0027243/Google%E3%80%81Gmail-%E3%81%AE-POP3-%E3%83%95%E3%82%A7%E3%83%83%E3%83%81%E6%A9%9F%E8%83%BD%E3%81%A7%E3%82%AA%E3%83%AC%E3%82%AA%E3%83%AC%E8%A8%BC%E6%98%8E%E6%9B%B8%E3%82%92%E6%8B%92%E5%90%A6%E3%81%99%E3%82%8B%E4%BB%95%E6%A7%98%E3%81%AB">Google、Gmail の POP3 フェッチ機能でオレオレ証明書を拒否する仕様に</a> 2012年12月19日 <br/>●StartSSL <a href="https://www.startssl.com/">https://www.startssl.com/</a> </p>