imap pres ssl

Ivo Panacek ivop na jlabs.cz
Pátek Leden 23 09:44:57 CET 2004 

Dne pátek 23 leden 2004 09:24 jste napsal(a):
> Preji pekny den,
>
> mame Suse SLES 8, na kterem chci vyzvedavat postu pres ssl bez autentizace
> (tj. abych nemusela na vsechny stanice rozesilat klice)
>
> v /etc/inetd.conf  mam
> imap    stream  tcp     nowait  root    /usr/sbin/tcpd  imapd
> imaps stream tcp nowait root /usr/sbin/stunnel stunnel -l
> /usr/sbin/imapd - imapd
> ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
> Tento radek jsem doplnila podle knihy Linux - prakticka bezpecnost, kde
> radi soucasne
> vyrobit klice a naimportovat je do postovnich klientu. Zdalo se mi, ze
> bez klicu by to  mohlo chodit
> taky.
>
> v messages
> Jan 23 09:04:18 jean stunnel[22152]: Using '-' as tcpwrapper service name
> Jan 23 09:04:18 jean stunnel[22152]: /etc/stunnel/stunnel.pem: No such
> file or directory (2)
>
> stunnel.pem nikde nemam, nevytvorila jsem ho a nechce se mi ho delat
> (nejsem si jista, ze to umim -
> po te, co jsem s vytvarenim klicu stravila nekolik hodin).
> Nastesti ten server jeste nebezi na ostro, takze na nem muzu trochu
> experimentovat.
>
> Diky za kazdou radu

Vyroby klice se nebojte.

Nemam tutez situaci, jako vy, ale podobnou. Pouzivam cyrus-imapd,
ktery ssl wrapper nepotrebuje, nebot ho ma v sobe. Nicmene klic
pro nej vyrobit musite, neni to az tak tezke:

openssl req -new -x509 -nodes -out /var/imap/server.pem -keyout /var/imap/server.pem -days 365

pricemz ta cesta k pem souboru je tam opravdu dvakrat stejna a vznikne jeden pem soubor,
coz je ten, ktery date tam, co vas sw (stunnel) potrebuje. Novy cyrus-imapd
ho kuprikladu nastavuje takto:

[root na ns root]# cat /etc/imapd.conf
configdirectory: /var/lib/imap
partition-default: /var/spool/imap
admins: cyrus
sievedir: /var/lib/imap/sieve
sendmail: /usr/sbin/sendmail
hashimapspool: true
#sasl_pwcheck_method: saslauthd
sasl_pwcheck_method: auxprop
sasl_mech_list: PLAIN
tls_cert_file: /usr/share/ssl/certs/cyrus-imapd.pem
tls_key_file: /usr/share/ssl/certs/cyrus-imapd.pem

Pri vyrobe toho klice se vas openssl bude ptat na informace, ktere napise dovnitr
toho klice a ktere uvidi uzivatel ve svem klientovi, pokud se rozhodne ten
certifikat blize zkoumat. Co tam napisete, to je na vas. Mimo jine
tam je platnost 1 rok.
Posledni otazka "Common name" je dulezita, tam byste mela dat to jmeno
pocitace, pod kterym ho uvidi klienti, jinak se nekteri klienti zlobili zbytecne
navic (tj. nejen proto, ze klic neni podepsan znamou autoritou).
-- 
S pozdravem
Ivo Panáček

Další informace o konferenci Linux