The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Sendmail +TLS непонимаю как создать сертификаты :("
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"Sendmail +TLS непонимаю как создать сертификаты :("
Сообщение от Jakov Искать по авторуВ закладки(??) on 05-Май-04, 10:51  (MSK)
HI all .
Случилась надобность доработать схему  AUTH-SASL и добавить TLS
Sendmail собран , дошла очередь до генерации сертификатов – и тут я впал ступор
Имеем разные доки с разными инструкциями:

define(`confCACERT', `/etc/mail/certs/cacert.pem')dnl
define(`confSERVER_CERT', `/etc/mail/certs/sendmail.pem')dnl
define(`confSERVER_KEY', `/etc/mail/certs/sendmail.pem')dnl
define(`confCLIENT_CERT', `/etc/mail/certs/sendmail.pem')dnl
define(`confCLIENT_KEY', `/etc/mail/certs/sendmail.pem')dnl

или вот так

define(`confCACERT', `CERT_DIR/mycert.pem')
define(`confSERVER_CERT', `CERT_DIR/mycert.pem')
define(`confSERVER_KEY', `CERT_DIR/mykey.pem')
define(`confCLIENT_CERT', `CERT_DIR/mycert.pem')
define(`confCLIENT_KEY', `CERT_DIR/mykey.pem')

или вот так

define(`confCACERT',`/usr/local/SSL/private/CAcert.pem')dnl
define(`confSERVER_CERT',`/usr/local/SSL/certs/sendmail-cert.pem')dnl
define(`confSERVER_KEY',`/usr/local/SSL/certs/sendmail-key.pem')dnl

Вообще не понятно должен ли CACERT быть тем-же файлом что и  SERVER_CERT(случай 2 ), или должен ли  SERVER_CERT быть тем-же файлом что и SERVER_KEY(случай 1) .

Как я понимаю нужно идти следующими шагами :
1)Cгенерировать CA: certificate authority (сертификат полномочия),
openssl req -new -x509 -keyout cakey.pem -out cacert.pem -days 365
Но непонятно зачем в этом случае генерировать cakey.pem – он ведь нигде дальше не используется ??
Просветите плз.
2) сгенерировать cert: сертификат (подписанный/сделанный при помощи CA),
То есть должна быть какая-то команда указывающая что этот сертификат надо делать исходя из cacert.pem . Что это может быть за команда ? Ниже идущая как-то на неё не похожа ( не указано что сертификат берём от cacert.pem)
openssl req -nodes -new -x509 -keyout sendmail.pem -out sendmail.pem -days 365
3)генерируем  приватный ключ: приватный ключ, принадлежащий cert.
Скорее всего, это 2 и 3 пункт делается одной командой. Мне просто не понятно логика писавших инструкции, как сертификат и ключ могут находиться в одном файле? Это бред или в таких инструкциях есть логика , какая ?

Резюмируя :
Научите плз генерировать правильно сертификаты , чтобы можно было как в варианте 3 работать.
Есть возможность подключать CLIENT_CERT и CLIENT_KEY для чего это надо?
Как я понял для подключения локальных (линук) клиентов – типа Pine, etc. – Так ли это?
Я пытаюсь работать через Outlook. Надо ли что то подставлять кроме  галочки “server requires SSL”. (скачивать сертификат или ещё чего делать) ?

Буду рад помощи.
Jakov

  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "Sendmail +TLS непонимаю как создать сертификаты :("
Сообщение от lavr emailИскать по авторуВ закладки on 05-Май-04, 12:27  (MSK)
>HI all .
>Случилась надобность доработать схему  AUTH-SASL и добавить TLS
>Sendmail собран , дошла очередь до генерации сертификатов - и тут я
>впал ступор
>Имеем разные доки с разными инструкциями:
>
>define(`confCACERT', `/etc/mail/certs/cacert.pem')dnl
>define(`confSERVER_CERT', `/etc/mail/certs/sendmail.pem')dnl
>define(`confSERVER_KEY', `/etc/mail/certs/sendmail.pem')dnl
>define(`confCLIENT_CERT', `/etc/mail/certs/sendmail.pem')dnl
>define(`confCLIENT_KEY', `/etc/mail/certs/sendmail.pem')dnl
>
>или вот так
>
>define(`confCACERT', `CERT_DIR/mycert.pem')
>define(`confSERVER_CERT', `CERT_DIR/mycert.pem')
>define(`confSERVER_KEY', `CERT_DIR/mykey.pem')
>define(`confCLIENT_CERT', `CERT_DIR/mycert.pem')
>define(`confCLIENT_KEY', `CERT_DIR/mykey.pem')
>
>или вот так
>
>define(`confCACERT',`/usr/local/SSL/private/CAcert.pem')dnl
>define(`confSERVER_CERT',`/usr/local/SSL/certs/sendmail-cert.pem')dnl
>define(`confSERVER_KEY',`/usr/local/SSL/certs/sendmail-key.pem')dnl
>
>Вообще не понятно должен ли CACERT быть тем-же файлом что и  
>SERVER_CERT(случай 2 ), или должен ли  SERVER_CERT быть тем-же файлом
>что и SERVER_KEY(случай 1) .
>
>Как я понимаю нужно идти следующими шагами :
>1)Cгенерировать CA: certificate authority (сертификат полномочия),
>openssl req -new -x509 -keyout cakey.pem -out cacert.pem -days 365
>Но непонятно зачем в этом случае генерировать cakey.pem - он ведь нигде
>дальше не используется ??
>Просветите плз.
>2) сгенерировать cert: сертификат (подписанный/сделанный при помощи CA),
>То есть должна быть какая-то команда указывающая что этот сертификат надо делать
>исходя из cacert.pem . Что это может быть за команда ?
>Ниже идущая как-то на неё не похожа ( не указано что
>сертификат берём от cacert.pem)
>openssl req -nodes -new -x509 -keyout sendmail.pem -out sendmail.pem -days 365
>3)генерируем  приватный ключ: приватный ключ, принадлежащий cert.
>Скорее всего, это 2 и 3 пункт делается одной командой. Мне просто
>не понятно логика писавших инструкции, как сертификат и ключ могут находиться
>в одном файле? Это бред или в таких инструкциях есть логика
>, какая ?
>
>Резюмируя :
>Научите плз генерировать правильно сертификаты , чтобы можно было как в варианте
>3 работать.
>Есть возможность подключать CLIENT_CERT и CLIENT_KEY для чего это надо?
>Как я понял для подключения локальных (линук) клиентов - типа Pine, etc.
>- Так ли это?
>Я пытаюсь работать через Outlook. Надо ли что то подставлять кроме  
>галочки "server requires SSL". (скачивать сертификат или ещё чего делать) ?
>
>
>Буду рад помощи.
>Jakov

http://www.sendmail.org/~ca/email/other/cagreg.html
http://www.ofb.net/~jheiss/sendmail/tlsandrelay.shtml
http://www.sendmail.org/~ca/email/starttls.html
http://www.eclectica.ca/howto/ssl-cert-howto.php

на примере настройки postfix'а (там толково на русском расписано про сертификаты):

http://www.opennet.ru/base/net/isp_mail_howto.txt.html

  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor