HI all .
Случилась надобность доработать схему AUTH-SASL и добавить TLS
Sendmail собран , дошла очередь до генерации сертификатов – и тут я впал ступор
Имеем разные доки с разными инструкциями:define(`confCACERT', `/etc/mail/certs/cacert.pem')dnl
define(`confSERVER_CERT', `/etc/mail/certs/sendmail.pem')dnl
define(`confSERVER_KEY', `/etc/mail/certs/sendmail.pem')dnl
define(`confCLIENT_CERT', `/etc/mail/certs/sendmail.pem')dnl
define(`confCLIENT_KEY', `/etc/mail/certs/sendmail.pem')dnlили вот так
define(`confCACERT', `CERT_DIR/mycert.pem')
define(`confSERVER_CERT', `CERT_DIR/mycert.pem')
define(`confSERVER_KEY', `CERT_DIR/mykey.pem')
define(`confCLIENT_CERT', `CERT_DIR/mycert.pem')
define(`confCLIENT_KEY', `CERT_DIR/mykey.pem')или вот так
define(`confCACERT',`/usr/local/SSL/private/CAcert.pem')dnl
define(`confSERVER_CERT',`/usr/local/SSL/certs/sendmail-cert.pem')dnl
define(`confSERVER_KEY',`/usr/local/SSL/certs/sendmail-key.pem')dnlВообще не понятно должен ли CACERT быть тем-же файлом что и SERVER_CERT(случай 2 ), или должен ли SERVER_CERT быть тем-же файлом что и SERVER_KEY(случай 1) .
Как я понимаю нужно идти следующими шагами :
1)Cгенерировать CA: certificate authority (сертификат полномочия),
openssl req -new -x509 -keyout cakey.pem -out cacert.pem -days 365
Но непонятно зачем в этом случае генерировать cakey.pem – он ведь нигде дальше не используется ??
Просветите плз.
2) сгенерировать cert: сертификат (подписанный/сделанный при помощи CA),
То есть должна быть какая-то команда указывающая что этот сертификат надо делать исходя из cacert.pem . Что это может быть за команда ? Ниже идущая как-то на неё не похожа ( не указано что сертификат берём от cacert.pem)
openssl req -nodes -new -x509 -keyout sendmail.pem -out sendmail.pem -days 365
3)генерируем приватный ключ: приватный ключ, принадлежащий cert.
Скорее всего, это 2 и 3 пункт делается одной командой. Мне просто не понятно логика писавших инструкции, как сертификат и ключ могут находиться в одном файле? Это бред или в таких инструкциях есть логика , какая ?Резюмируя :
Научите плз генерировать правильно сертификаты , чтобы можно было как в варианте 3 работать.
Есть возможность подключать CLIENT_CERT и CLIENT_KEY для чего это надо?
Как я понял для подключения локальных (линук) клиентов – типа Pine, etc. – Так ли это?
Я пытаюсь работать через Outlook. Надо ли что то подставлять кроме галочки “server requires SSL”. (скачивать сертификат или ещё чего делать) ?Буду рад помощи.
Jakov
>HI all .
>Случилась надобность доработать схему AUTH-SASL и добавить TLS
>Sendmail собран , дошла очередь до генерации сертификатов - и тут я
>впал ступор
>Имеем разные доки с разными инструкциями:
>
>define(`confCACERT', `/etc/mail/certs/cacert.pem')dnl
>define(`confSERVER_CERT', `/etc/mail/certs/sendmail.pem')dnl
>define(`confSERVER_KEY', `/etc/mail/certs/sendmail.pem')dnl
>define(`confCLIENT_CERT', `/etc/mail/certs/sendmail.pem')dnl
>define(`confCLIENT_KEY', `/etc/mail/certs/sendmail.pem')dnl
>
>или вот так
>
>define(`confCACERT', `CERT_DIR/mycert.pem')
>define(`confSERVER_CERT', `CERT_DIR/mycert.pem')
>define(`confSERVER_KEY', `CERT_DIR/mykey.pem')
>define(`confCLIENT_CERT', `CERT_DIR/mycert.pem')
>define(`confCLIENT_KEY', `CERT_DIR/mykey.pem')
>
>или вот так
>
>define(`confCACERT',`/usr/local/SSL/private/CAcert.pem')dnl
>define(`confSERVER_CERT',`/usr/local/SSL/certs/sendmail-cert.pem')dnl
>define(`confSERVER_KEY',`/usr/local/SSL/certs/sendmail-key.pem')dnl
>
>Вообще не понятно должен ли CACERT быть тем-же файлом что и
>SERVER_CERT(случай 2 ), или должен ли SERVER_CERT быть тем-же файлом
>что и SERVER_KEY(случай 1) .
>
>Как я понимаю нужно идти следующими шагами :
>1)Cгенерировать CA: certificate authority (сертификат полномочия),
>openssl req -new -x509 -keyout cakey.pem -out cacert.pem -days 365
>Но непонятно зачем в этом случае генерировать cakey.pem - он ведь нигде
>дальше не используется ??
>Просветите плз.
>2) сгенерировать cert: сертификат (подписанный/сделанный при помощи CA),
>То есть должна быть какая-то команда указывающая что этот сертификат надо делать
>исходя из cacert.pem . Что это может быть за команда ?
>Ниже идущая как-то на неё не похожа ( не указано что
>сертификат берём от cacert.pem)
>openssl req -nodes -new -x509 -keyout sendmail.pem -out sendmail.pem -days 365
>3)генерируем приватный ключ: приватный ключ, принадлежащий cert.
>Скорее всего, это 2 и 3 пункт делается одной командой. Мне просто
>не понятно логика писавших инструкции, как сертификат и ключ могут находиться
>в одном файле? Это бред или в таких инструкциях есть логика
>, какая ?
>
>Резюмируя :
>Научите плз генерировать правильно сертификаты , чтобы можно было как в варианте
>3 работать.
>Есть возможность подключать CLIENT_CERT и CLIENT_KEY для чего это надо?
>Как я понял для подключения локальных (линук) клиентов - типа Pine, etc.
>- Так ли это?
>Я пытаюсь работать через Outlook. Надо ли что то подставлять кроме
>галочки "server requires SSL". (скачивать сертификат или ещё чего делать) ?
>
>
>Буду рад помощи.
>Jakovhttp://www.sendmail.org/~ca/email/other/cagreg.html
http://www.ofb.net/~jheiss/sendmail/tlsandrelay.shtml
http://www.sendmail.org/~ca/email/starttls.html
http://www.eclectica.ca/howto/ssl-cert-howto.phpна примере настройки postfix'а (там толково на русском расписано про сертификаты):
https://www.opennet.ru/base/net/isp_mail_howto.txt.html