*

ucspi-tcp (SSL Patch) と ucspi-ssl (TLS Patch)

公開日: : 最終更新日:2013/12/15 FreeBSD

Seichan です.qmail 関連の SSL/TLS 化を考えてます.特に SMTP(submission), POP3, IMAP.

楽ちんぽいのは ucspi-tcp を SSL が扱えるようにする方法だったので色々調べてみた.

sysutil/ucspi-tcp (オリジナル)
WITH_SSL=yes でパッチを当てる事で行ける.tcpserver はそのまま使えるので,tcpserver を使っていて SSL 不要な所はまったく修正が要らず,SSL 化したい所だけ,オプションを追加してやる.

tcpserver に追加するオプションは,
-s SSL を有効
-n CERTFILE 証明書/鍵ファイルを指定
と,これだけ.

ただ,証明書/鍵を1つのファイルに収める必要があるのでその点が微妙?

sysutil/ucspi-ssl-tls (SSL/TLS パッケ)
ucspi-tcp とはまったく別の実装で ucspi-ssl と言う物がある.で,ucspi-ssl に TLS パッチを適用した物が,ucspi-ssl-tls.

こっちも,tcpserver とはまったく別のバイナリ sslserver を使うので,tcpserver を使っていて SSL 化が不要ならそこはいじる必要なし.上のやつより高機能な為,色々面倒な部分も.

とりあえずは tcpserver と記述していた所を sslserver に変更するだけなんだけど,鍵や証明書の指定方法が独自というか djb 的?

複数の環境変数が必要で,

  • CADIR
    • 証明書等を収めているディレクトリ
  • CAFILE
    • CA証明書ファイル
  • CERTFILE
    • サーバ証明書ファイル
  • CIPHERS
    • 使用可能な暗号化スイートを列挙
  • DHFILE
    • 鍵交換ファイル
  • KEYFILE
    • サーバ鍵ファイル

と,色々と準備が多かった.
鍵交換ファイルってなんやねん? ととりあえず調べ,

openssl dhparam -out dh1024.pem 1024

と作ることを知った.

最後に,uw-imap の ipop3d を使ってるわけですが,これ自身 SSL を有効にしてビルドしてれば巣の tcpserver で良い.
証明書/鍵を置く場所が最初から決まっているので,そこに配置してサービスを動作させるだけ.鍵等のファイルが無かったら平文で使える.
初めて知ったよ.

こいつは諸事情で ports から入れていないので,証明書を置く場所が標準とちょっと違うのかな?
Makefile に SSLCERTS=/etc/ssl/certs SSLKEYS=/etc/ssl/private って書いてあったので,それにならってディレクトリ作成.

ファイルはバイナリ名と同一にする必要があるっぽいので,ipop3d を SSL 化する場合は ipop3d.pem というファイル名にする必要があるらしい.

とりあえず,pop3 の SSL 化は完了したんだけど,まだ SSL 状態にはしていない.SMTP(submission) も SSL 化したけど…
いつからスタートしましょうか? > 使っている方.特に,くらとぱぷ

SPONSORED LINK
  ☆ ブログランキング参加しました (*≧∀≦)ノシ
にほんブログ村 IT技術ブログ FreeBSDへ 

関連記事

no image

Multiple problems in crypto

FreeBSD の SA が出た.今回は OpenSSL.これインパクトでかい様なので,外部向けのサ

記事を読む

仕事中ですが臨時のカキコです

本日,仕事中にも関わらず,某社勤務の Seichan が Blog に記事を投稿するという暴挙に打っ

記事を読む

pukiwiki を PHP 5.4 に対応させる方法 (2)

Seichan です.こんばんわ. pukiwiki を PHP 5.4 に対応させる方法 (1)

記事を読む

GEOM RAID3 を使う

Seichan です.こんばんわ. 前回の「GEOM CONCAT を使う」に続いて今回は RAI

記事を読む

GEOM GATE

FreeBSD の GEOM GATE を試してみた. VMware 内の環境なのでスピードに難有

記事を読む

no image

CVSup と GEOM

FreeBSD で atacontrol を使いこなしてみる? を公開した前後,GEOM 関連を色々

記事を読む

no image

Pentium3

昨日,あきばに行って中古の Pentium3 800MHz を2つ買ってきました. 理由は… Pen

記事を読む

FreeNAS 0.69 (Kwisatz Haderach) の日本語環境アップデート

おひさしぶりです.Seichan です.FreeNAS 0.69 が出てからちょっと立ちました.とて

記事を読む

no image

FreeNAS 0.685b をビルドしてみた

Seichan です.ここしばらく FreeNAS にかまける時間が取れないでおりました. ちょっと

記事を読む

no image

祝(?) 180,000Km & watchdog timeout…

こんばんわ.Seichan です.最近さらにバタバタと過ごしております. まったりする時間が欲しい

記事を読む

Message

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

Google Adsense

PHPki で簡単証明書運用 (5) 【管理ユーザのメンテナンスとCRLの取得】

Seichanです.こんばんわ. いつものとおり,だいぶ日が経ってし

PHPki で簡単証明書運用 (4) 【作成した証明書を管理する】

Seichanです.こんばんわ. 先日の「PHPki で簡単証明書運

PHPki で簡単証明書運用 (3) 【署名されたサーバ証明書を作る】

Seichan です.こんばんわ. さて,先日の「PHPki で簡単

PHPki で簡単証明書運用 (2) 【初期設定と Root CA 証明書作成】

Seichan です.こんばんわ. さて,先日の「PHPki で簡単

PHPki で簡単証明書運用 (1) 【PHPki の修正と導入 (修正版)】

Seichan です.こんばんわ. 先日「PHPki で簡単証明書運

→もっと見る

PAGE TOP ↑