ucspi-tcp (SSL Patch) と ucspi-ssl (TLS Patch)
公開日:
:
最終更新日:2013/12/15
FreeBSD
Seichan です.qmail 関連の SSL/TLS 化を考えてます.特に SMTP(submission), POP3, IMAP.
楽ちんぽいのは ucspi-tcp を SSL が扱えるようにする方法だったので色々調べてみた.
sysutil/ucspi-tcp (オリジナル)
WITH_SSL=yes でパッチを当てる事で行ける.tcpserver はそのまま使えるので,tcpserver を使っていて SSL 不要な所はまったく修正が要らず,SSL 化したい所だけ,オプションを追加してやる.
tcpserver に追加するオプションは,
-s SSL を有効
-n CERTFILE 証明書/鍵ファイルを指定
と,これだけ.
ただ,証明書/鍵を1つのファイルに収める必要があるのでその点が微妙?
sysutil/ucspi-ssl-tls (SSL/TLS パッケ)
ucspi-tcp とはまったく別の実装で ucspi-ssl と言う物がある.で,ucspi-ssl に TLS パッチを適用した物が,ucspi-ssl-tls.
こっちも,tcpserver とはまったく別のバイナリ sslserver を使うので,tcpserver を使っていて SSL 化が不要ならそこはいじる必要なし.上のやつより高機能な為,色々面倒な部分も.
とりあえずは tcpserver と記述していた所を sslserver に変更するだけなんだけど,鍵や証明書の指定方法が独自というか djb 的?
複数の環境変数が必要で,
- CADIR
- 証明書等を収めているディレクトリ
- CAFILE
- CA証明書ファイル
- CERTFILE
- サーバ証明書ファイル
- CIPHERS
- 使用可能な暗号化スイートを列挙
- DHFILE
- 鍵交換ファイル
- KEYFILE
- サーバ鍵ファイル
と,色々と準備が多かった.
鍵交換ファイルってなんやねん? ととりあえず調べ,
openssl dhparam -out dh1024.pem 1024
と作ることを知った.
最後に,uw-imap の ipop3d を使ってるわけですが,これ自身 SSL を有効にしてビルドしてれば巣の tcpserver で良い.
証明書/鍵を置く場所が最初から決まっているので,そこに配置してサービスを動作させるだけ.鍵等のファイルが無かったら平文で使える.
初めて知ったよ.
こいつは諸事情で ports から入れていないので,証明書を置く場所が標準とちょっと違うのかな?
Makefile に SSLCERTS=/etc/ssl/certs SSLKEYS=/etc/ssl/private って書いてあったので,それにならってディレクトリ作成.
ファイルはバイナリ名と同一にする必要があるっぽいので,ipop3d を SSL 化する場合は ipop3d.pem というファイル名にする必要があるらしい.
とりあえず,pop3 の SSL 化は完了したんだけど,まだ SSL 状態にはしていない.SMTP(submission) も SSL 化したけど…
いつからスタートしましょうか? > 使っている方.特に,くらとぱぷ


関連記事
-
-
FreeBSD で NFS (4) 【NFSクライアントとマウントオプション】
Seichan です.こんばんわ. 前回「FreeBSD で NFS (3)」までは NFS Se
-
-
FreeBSD は / から ZFS 化出来るらしいよ
Seichan です.とりあえずよさげなサイトを見つけたので,めもめも.http://www.ish
-
-
ports で頑張って見た
apache13-modssl を ports からインストールしてみた. suexec を On
-
-
仕事中ですが臨時のカキコです
本日,仕事中にも関わらず,某社勤務の Seichan が Blog に記事を投稿するという暴挙に打っ
-
-
FreeBSD 6.0 RELEASE キター
newvers.sh のコミットログには Welcome to 6.0-RELEASE. の文字が.
-
-
mpd で PPTP
papu が Poptop で PPTP を頑張ってやっているらしいので,こっちは mpd で P