Dell Dimension 8200

SolarisTM 10  x86  1/06

SSL鍵とSSL証明書と ca-bundle.crtの作成
戻る



１． BerkeleyDB.4.4.20のインストール

２． drac-1.12のインストール

３． cyrus-saslのインストール

４． SSL鍵とSSL証明書と ca-bundle.crtの作成

５． qpopper4.0.9のインストール

６． smtpfeed-1.20のインストール

７． clamav-milter (ウィルス対策)

８． sendmail-8.13.8のインストール

９． sendmail-8.13.8の設定

９-２．　（バーチャルドメインの設定）



※　事前にOpenSSLをインストールしておくこと。


●SSL鍵と証明書の作成： (ServerCertFileとServerKeyFile) ( sendmail qpopper 共通)

最近ではSSL証明書の価格も下ってきているので、個人でも手を出し易くなった。
もしも複数人が利用するMailサーバーを作るのなら、購入を検討しては如何だろうか？
onlinessl.jpが販売しているRapidSSLなどは年間数千円で購入できる。
筆者も試しに2年分 ( 2006年9月=\6,687  2010年10月の更新=\4,726  だった) を購入したが、メール程度なら結構使えると感じている。


以下は証明書は購入せず、自分で署名した証明書を作成・使用する方法を記述しておく。

SSLの鍵と証明書を格納しておくディレクトリを作成する。
# mkdir /etc/mail/certs

作成したディレクトリに移動する。
# cd /etc/mail/certs/

■Keyファイル(mail.domain.com.key_tmp) を作成する。
# /usr/local/ssl/bin/openssl genrsa -des 1024 > mail.domain.com.key_tmp

Generating RSA private key, 1024 bit long modulus
..++++++
..............................++++++
e is 65537 (0x10001)
Enter pass phrase: ********  <- パスワード入力
Verifying - Enter pass phrase: ********  <- パスワード再入力

■作成したKeyファイルからパスフレーズを外したKeyファイル (mail.domain.com.key)を作成する。
# /usr/local/ssl/bin/openssl rsa -in mail.domain.com.key_tmp -out mail.domain.com.key

Enter pass phrase for mail.domain.com.key_tmp: ********  <- パスワード入力
writing RSA key

■自分で署名した証明書 (mail.domain.com.crt) を作成する。
# /usr/local/ssl/bin/openssl req -new -x509 -days 3650 -key mail.domain.com.key -out mail.domain.com.crt

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:JP
State or Province Name (full name) [Some-State]:Tokyo
Locality Name (eg, city) []:Minato-ku
Organization Name (eg, company) [Internet Widgits Pty Ltd]:My Company Inc.
Organizational Unit Name (eg, section) []:Tech
Common Name (eg, YOUR name) []:mail.domain.com
Email Address []:非入力のままEnter


以上で■/etc/mail/certs/mail.domain.com.key と ■/etc/mail/certs/mail.domain.com.crt の作成が完了した。





●最新のca-budle.crtの作成 (CACertFile)：

最新のルート認証局の証明書ファイル(ca-bundle.crt)(cacert.pemと命名することも多い)を作成する。
※　事前にrubyをインストールしておくこと。

最新のルート認証局情報のテキスト (certdata.txt) をダウンロードする。
$ cd /tmp/
$ mkdir create-ca
$ cd create-ca
$ wget -O certdata.txt http://lxr.mozilla.org/seamonkey/source/security/nss/lib/ckfw/builtins/certdata.txt?raw=1

ダウンロードしたルート認証局情報を一旦w3mで使用できるファイルに分解するので、以下のrubyスクリプトを作成する。
$ vi certdata.rb

以下の内容を記述して保存する。

#!/usr/local/bin/ruby
while line = $stdin.gets
  next if line =~ /^#/
  next if line =~ /^\s*$/
  line.chomp!
  if line =~ /CKA_LABEL/
    label,type,val = line.split(' ',3)
    val.sub!(/^"/, "")
    val.sub!(/"$/, "")
    fname = val.gsub(/\//,"_").gsub(/\s+/, "_").gsub(/[()]/, "=") + ".pem"
    next
  end
  if line =~ /CKA_VALUE MULTILINE_OCTAL/
    data=''
    while line = $stdin.gets
      break if /^END/
      line.chomp!
      line.gsub(/\\([0-3][0-7][0-7])/) { data += $1.oct.chr }
    end
    open(fname, "w") do |fp|
      fp.puts "-----BEGIN CERTIFICATE-----"
      fp.puts [data].pack("m*")
      fp.puts "-----END CERTIFICATE-----"
    end
    puts "Created #{fname}"
  end
end
system("c_rehash", ".")

作成したrubyスクリプトを実行してファイルを変換分割させる。
$ ruby certdata.rb < certdata.txt

出来上がった個々のルート認証局の証明書を1つのルート認証局の証明書ファイル (ca-bundle.crt) に整形するので、以下のshスクリプトを作成する。
$ vi create-ca.sh

以下の内容を記述して保存する。

#!/bin/sh

CA=`ls -1 *.pem ¦ sed ':loop; N; $!b loop; s/\n/ /g'`

for HOST in $CA
do
/usr/local/ssl/bin/openssl x509 -noout -text -in ${HOST} >> ca-bundle.crt
/usr/local/ssl/bin/openssl x509 -fingerprint -noout -in ${HOST} >> ca-bundle.crt
cat ${HOST} >> ca-bundle.crt
echo >> ca-bundle.crt
echo >> ca-bundle.crt
done

作成した create-ca.sh を実行する。
$ sh create-ca.sh


出来上がった ca-bundle.crt を/etc/mail/certs/ 内にコピーする。
# cp ca-bundle.crt /etc/mail/certs/



以上の方法で作成した、2009年06月18日現在のルート認証局の証明書ファイル ca-bundle.crt