HI all .
Случилась надобность доработать схему AUTH-SASL и добавить TLS
Sendmail собран , дошла очередь до генерации сертификатов – и тут я впал ступор
Имеем разные доки с разными инструкциями:
define(`confCACERT', `/etc/mail/certs/cacert.pem')dnl
define(`confSERVER_CERT', `/etc/mail/certs/sendmail.pem')dnl
define(`confSERVER_KEY', `/etc/mail/certs/sendmail.pem')dnl
define(`confCLIENT_CERT', `/etc/mail/certs/sendmail.pem')dnl
define(`confCLIENT_KEY', `/etc/mail/certs/sendmail.pem')dnl
или вот так
define(`confCACERT', `CERT_DIR/mycert.pem')
define(`confSERVER_CERT', `CERT_DIR/mycert.pem')
define(`confSERVER_KEY', `CERT_DIR/mykey.pem')
define(`confCLIENT_CERT', `CERT_DIR/mycert.pem')
define(`confCLIENT_KEY', `CERT_DIR/mykey.pem')
или вот так
define(`confCACERT',`/usr/local/SSL/private/CAcert.pem')dnl
define(`confSERVER_CERT',`/usr/local/SSL/certs/sendmail-cert.pem')dnl
define(`confSERVER_KEY',`/usr/local/SSL/certs/sendmail-key.pem')dnl
Вообще не понятно должен ли CACERT быть тем-же файлом что и SERVER_CERT(случай 2 ), или должен ли SERVER_CERT быть тем-же файлом что и SERVER_KEY(случай 1) .
Как я понимаю нужно идти следующими шагами :
1)Cгенерировать CA: certificate authority (сертификат полномочия),
openssl req -new -x509 -keyout cakey.pem -out cacert.pem -days 365
Но непонятно зачем в этом случае генерировать cakey.pem – он ведь нигде дальше не используется ??
Просветите плз.
2) сгенерировать cert: сертификат (подписанный/сделанный при помощи CA),
То есть должна быть какая-то команда указывающая что этот сертификат надо делать исходя из cacert.pem . Что это может быть за команда ? Ниже идущая как-то на неё не похожа ( не указано что сертификат берём от cacert.pem)
openssl req -nodes -new -x509 -keyout sendmail.pem -out sendmail.pem -days 365
3)генерируем приватный ключ: приватный ключ, принадлежащий cert.
Скорее всего, это 2 и 3 пункт делается одной командой. Мне просто не понятно логика писавших инструкции, как сертификат и ключ могут находиться в одном файле? Это бред или в таких инструкциях есть логика , какая ?
Резюмируя :
Научите плз генерировать правильно сертификаты , чтобы можно было как в варианте 3 работать.
Есть возможность подключать CLIENT_CERT и CLIENT_KEY для чего это надо?
Как я понял для подключения локальных (линук) клиентов – типа Pine, etc. – Так ли это?
Я пытаюсь работать через Outlook. Надо ли что то подставлять кроме галочки “server requires SSL”. (скачивать сертификат или ещё чего делать) ?
Буду рад помощи.
Jakov