StartSSL

IT

2012年の12月、GmailMail Fetcherオレオレ証明書を拒否する仕様になってしまい、mail.bravotouring.comにpop3s(995/TCP)で接続できなくなって困っていたのだが、StartSSLからサーバ証明書を無料で発行して貰う事ができたのでメモしておく。

無料のサーバ証明書を入手する手順については無料なのに正式なSSLサーバ証明書を導入してみたStartSSLで無料のSSL証明書を取得してサーバーに適用するを参照。これまで何度か失敗を繰り返していたので1年半も掛かってしまったのだが、住所や電話番号を英語で正しく登録できれば30分ほどでmail.bravotouring.comのサーバ証明書が取得できる。

そして、さくらのVPSでの設定変更。StartSSLで発行した暗号鍵をmail.bravotouring.com.key、サーバ証明書をssl-cert-mail.bravotouring.com.pemとしてファイル化したのだが、それぞれubuntu 10.04のセオリーに倣って/etc/ssl/private//etc/ssl/certs/に配置する。

まず一番に気になるapacheの設定ポイントは/etc/apache2/sites-available/mail.bravotouring.com-ssl

**SSLCertificateFile**    /etc/ssl/certs/ssl-cert-mail.bravotouring.com.pem
  **SSLCertificateKeyFile** /etc/ssl/private/mail.bravotouring.com.key

が該当する。

そして、肝心のメールサーバはSMTPなpostfixの設定が/etc/postfix/main.cf

**smtpd_tls_cert_file** = `/etc/ssl/certs/ssl-cert-mail.pem`
**smtpd_tls_key_file** = `/etc/ssl/private/ssl-mail.key`

POP3なdovecotの設定が/etc/dovecot/conf.d/01-dovecot-postfix.conf

**ssl_cert_file** = `/etc/ssl/certs/ssl-cert-mail.pem`
**ssl_key_file** = `/etc/ssl/private/ssl-mail.key`

となっていたので、

$ su -
パスワード:
# cd /etc/ssl/private/
# **rm** `ssl-mail.key`
# ln -s mail.bravotouring.com.key `ssl-mail.key`
# cd /etc/ssl/certs/
# **rm** `ssl-cert-mail.pem`
# ln -s ssl-cert-mail.bravotouring.com.pem `ssl-cert-mail.pem`

としてシンボリックリンクを張り替えた後、

$ sudo service postfix restart
$ sudo service dovecot restart

でOK。

特にStartSSLの場合は中間証明書が必要なので、設定ファイルのsmtpd_tls_CA_filessl_ca_fileエントリでsub.class1.server.ca.pemの証明書を指定する必要があるらしいが、「自分のサーバ証明書にsub.class1.server.ca.pemの中間証明書を結合しておく」というのは眼から鱗なナイスアイディアと思う。

来年もGW明けには証明書の更新を忘れないようにする必要があるが、StartSSL更新を行うに倣えば良さそうだ。取り敢えず、再インストールなどでコントロールパネルにアクセスする為のクライアント証明書を紛失しないようにしないとなぁ…

参照

Gmail ヘルプ https://support.google.com/mail/

ミンキームーンネットワーク http://minkymoon.jp/

くずのは探偵事務所 http://www.kyoji-kuzunoha.com/

The hacker in the rye http://yanmoo.blogspot.jp/

スラッシュドット・ジャパン http://slashdot.jp/

StartSSL https://www.startssl.com/