ucspi-tcp (SSL Patch) と ucspi-ssl (TLS Patch)
公開日:
:
最終更新日:2013/12/15
FreeBSD
Seichan です.qmail 関連の SSL/TLS 化を考えてます.特に SMTP(submission), POP3, IMAP.
楽ちんぽいのは ucspi-tcp を SSL が扱えるようにする方法だったので色々調べてみた.
sysutil/ucspi-tcp (オリジナル)
WITH_SSL=yes でパッチを当てる事で行ける.tcpserver はそのまま使えるので,tcpserver を使っていて SSL 不要な所はまったく修正が要らず,SSL 化したい所だけ,オプションを追加してやる.
tcpserver に追加するオプションは,
-s SSL を有効
-n CERTFILE 証明書/鍵ファイルを指定
と,これだけ.
ただ,証明書/鍵を1つのファイルに収める必要があるのでその点が微妙?
sysutil/ucspi-ssl-tls (SSL/TLS パッケ)
ucspi-tcp とはまったく別の実装で ucspi-ssl と言う物がある.で,ucspi-ssl に TLS パッチを適用した物が,ucspi-ssl-tls.
こっちも,tcpserver とはまったく別のバイナリ sslserver を使うので,tcpserver を使っていて SSL 化が不要ならそこはいじる必要なし.上のやつより高機能な為,色々面倒な部分も.
とりあえずは tcpserver と記述していた所を sslserver に変更するだけなんだけど,鍵や証明書の指定方法が独自というか djb 的?
複数の環境変数が必要で,
- CADIR
- 証明書等を収めているディレクトリ
- CAFILE
- CA証明書ファイル
- CERTFILE
- サーバ証明書ファイル
- CIPHERS
- 使用可能な暗号化スイートを列挙
- DHFILE
- 鍵交換ファイル
- KEYFILE
- サーバ鍵ファイル
と,色々と準備が多かった.
鍵交換ファイルってなんやねん? ととりあえず調べ,
openssl dhparam -out dh1024.pem 1024
と作ることを知った.
最後に,uw-imap の ipop3d を使ってるわけですが,これ自身 SSL を有効にしてビルドしてれば巣の tcpserver で良い.
証明書/鍵を置く場所が最初から決まっているので,そこに配置してサービスを動作させるだけ.鍵等のファイルが無かったら平文で使える.
初めて知ったよ.
こいつは諸事情で ports から入れていないので,証明書を置く場所が標準とちょっと違うのかな?
Makefile に SSLCERTS=/etc/ssl/certs SSLKEYS=/etc/ssl/private って書いてあったので,それにならってディレクトリ作成.
ファイルはバイナリ名と同一にする必要があるっぽいので,ipop3d を SSL 化する場合は ipop3d.pem というファイル名にする必要があるらしい.
とりあえず,pop3 の SSL 化は完了したんだけど,まだ SSL 状態にはしていない.SMTP(submission) も SSL 化したけど…
いつからスタートしましょうか? > 使っている方.特に,くらとぱぷ


関連記事
-
-
NFS オプションを変えてみた
ので,パフォーマンステスト中
-
-
6.2-PRERELEASE
今日(昨日)会社を休んでだるだるすごしていた Seichan です. でも,会社(部)の飲み会にはし
-
-
FreeBSD をクライアントとして使用する (X.org)
Seichan です.FreeBSD をクライアントとして使用する,其ノ三. 今回も X.org
-
-
5.3-RELEASE から RC に…
FreeBSD-5.3-RELEASE がもう少しで出るなぁ〜 と思っていたら,cvsweb を見た
-
-
antibadmail その後
2005/12/24 に antibadmail を導入し,約3週間たちました.現状の状態を報告して
-
-
FreeBSD をクライアントとして利用する (サウンド)
Seichan です.FreeBSD をクライアントとして利用する為の覚え書き其ノ一.まずはやっぱり
-
-
FreeBSD で NFS (3) 【/etc/exports 詳解】
Seichan です.こんばんわ. 前回「FreeBSD で NFS (2)」で書いたとおり,/e
-
-
PHPki で簡単証明書運用 (1) 【PHPki の修正と導入 (修正版)】
Seichan です.こんばんわ. 先日「PHPki で簡単証明書運用 (1)」を書いたのですが、