*

ucspi-tcp (SSL Patch) と ucspi-ssl (TLS Patch)

公開日: : 最終更新日:2013/12/15 FreeBSD

Seichan です.qmail 関連の SSL/TLS 化を考えてます.特に SMTP(submission), POP3, IMAP.

楽ちんぽいのは ucspi-tcp を SSL が扱えるようにする方法だったので色々調べてみた.

sysutil/ucspi-tcp (オリジナル)
WITH_SSL=yes でパッチを当てる事で行ける.tcpserver はそのまま使えるので,tcpserver を使っていて SSL 不要な所はまったく修正が要らず,SSL 化したい所だけ,オプションを追加してやる.

tcpserver に追加するオプションは,
-s SSL を有効
-n CERTFILE 証明書/鍵ファイルを指定
と,これだけ.

ただ,証明書/鍵を1つのファイルに収める必要があるのでその点が微妙?

sysutil/ucspi-ssl-tls (SSL/TLS パッケ)
ucspi-tcp とはまったく別の実装で ucspi-ssl と言う物がある.で,ucspi-ssl に TLS パッチを適用した物が,ucspi-ssl-tls.

こっちも,tcpserver とはまったく別のバイナリ sslserver を使うので,tcpserver を使っていて SSL 化が不要ならそこはいじる必要なし.上のやつより高機能な為,色々面倒な部分も.

とりあえずは tcpserver と記述していた所を sslserver に変更するだけなんだけど,鍵や証明書の指定方法が独自というか djb 的?

複数の環境変数が必要で,

  • CADIR
    • 証明書等を収めているディレクトリ
  • CAFILE
    • CA証明書ファイル
  • CERTFILE
    • サーバ証明書ファイル
  • CIPHERS
    • 使用可能な暗号化スイートを列挙
  • DHFILE
    • 鍵交換ファイル
  • KEYFILE
    • サーバ鍵ファイル

と,色々と準備が多かった.
鍵交換ファイルってなんやねん? ととりあえず調べ,

openssl dhparam -out dh1024.pem 1024

と作ることを知った.

最後に,uw-imap の ipop3d を使ってるわけですが,これ自身 SSL を有効にしてビルドしてれば巣の tcpserver で良い.
証明書/鍵を置く場所が最初から決まっているので,そこに配置してサービスを動作させるだけ.鍵等のファイルが無かったら平文で使える.
初めて知ったよ.

こいつは諸事情で ports から入れていないので,証明書を置く場所が標準とちょっと違うのかな?
Makefile に SSLCERTS=/etc/ssl/certs SSLKEYS=/etc/ssl/private って書いてあったので,それにならってディレクトリ作成.

ファイルはバイナリ名と同一にする必要があるっぽいので,ipop3d を SSL 化する場合は ipop3d.pem というファイル名にする必要があるらしい.

とりあえず,pop3 の SSL 化は完了したんだけど,まだ SSL 状態にはしていない.SMTP(submission) も SSL 化したけど…
いつからスタートしましょうか? > 使っている方.特に,くらとぱぷ

SPONSORED LINK
  ☆ ブログランキング参加しました (*≧∀≦)ノシ
にほんブログ村 IT技術ブログ FreeBSDへ 

関連記事

no image

FreeBSD 4.11 と 6.1

寝ようと思っても,咳がひどくて眠れない Seichan Death. 月末に妹がこっちに来るようなの

記事を読む

no image

メンテナンス完了

結局,PM11:00 より開始して AM10:00 に終了しました.軽く寝て起きた Seichan

記事を読む

GEOM CONCAT を使う

Seichan です.こんばんわ. 前回の「GEOM RAID1 を管理する」で書いた通り今回

記事を読む

GEOM のモジュールを理解する

Seichan です.こんばんわ. GEOM の状態がどういう風になっているのかを確認したい.なん

記事を読む

no image

FreeBSD には関係ないが

CIFS は1アクション毎のやり取りが多すぎる.この為,リモートからのファイル送受信はとてつもなく時

記事を読む

no image

Apache

うちの環境では,NFS & amd を利用して,ホームをお互いのマシンがマウントしている. この中で

記事を読む

no image

でーたがとんだ?

え〜と.PostgreSQL の復旧をしたと先に書いたのですが,完全復活じゃぁ無いようで… 1週間分

記事を読む

no image

RAID の解説

そういや,前に自分の wiki サイトに用語集カテゴリ作って,適当に RAID に関する事をつらつら

記事を読む

no image

mpd で PPTP

papu が Poptop で PPTP を頑張ってやっているらしいので,こっちは mpd で P

記事を読む

/usr/ports/mail/qmail の Makefile を修正

Seichan です.忘れるのでメモFreeBSD の ports にて qmail-ldap をイ

記事を読む

Message

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

Google Adsense

PHPki で簡単証明書運用 (5) 【管理ユーザのメンテナンスとCRLの取得】

Seichanです.こんばんわ. いつものとおり,だいぶ日が経ってし

PHPki で簡単証明書運用 (4) 【作成した証明書を管理する】

Seichanです.こんばんわ. 先日の「PHPki で簡単証明書運

PHPki で簡単証明書運用 (3) 【署名されたサーバ証明書を作る】

Seichan です.こんばんわ. さて,先日の「PHPki で簡単

PHPki で簡単証明書運用 (2) 【初期設定と Root CA 証明書作成】

Seichan です.こんばんわ. さて,先日の「PHPki で簡単

PHPki で簡単証明書運用 (1) 【PHPki の修正と導入 (修正版)】

Seichan です.こんばんわ. 先日「PHPki で簡単証明書運

→もっと見る

PAGE TOP ↑