Sendmail a "řízený" RELAY

Michal Dobes dobes na tesnet.cz
Čtvrtek Srpen 11 20:45:13 CEST 2005


Miroslav BENES napsal(a):
> Problém je v tom, že se nedá zadat první možnost (aby se certifikát 
> serveru akceptoval trvale), takže je po každém spuštění Thunderbird-a 
> nutné přijmout certifikát jen pro relaci - pak dá pokuj až do ukončení.
> 
> Je nějaký jednoduchý způsob, jak certifikát vytvořený popsaným způsobem 
> předhotit TB aby se uspokojil ?

Thunderbirdu se nelibi certifikat podepsany sam sebou, coz jste vyrobil.
Prska na neznamou autoritu.

Nejjednodussi reseni je vzit ten vytvoreny certifikat (sendmail.pem)
a naimportovat ho do TB mezi zname certifikaty, pak by mel dat pokoj.

Vhodnejsi by bylo udelat si vlastni certifikacni autoritu, do klienta
naimportovat certifikat teto autority a pomoci teto autority udelat
i certifikat pro dany server (pripadne i klienty a dalsi veci).

Na takove jednodussi urovni je na to v baliku openssl skript CA, ktery
se da k tomu pouzit. Mohlo by to byt nekde v /usr/share/ssl
Pouziti celkem primitivni:
# CA -newca
# CA -newreq
# CA -sign

Pripadne na profesionalnejsi urovni by bylo rozjet si CA toolkit
z http://www.openca.org/ , ale to uz muze byt v tomto pripade
kanon na vrabce. :-)

A rozhodne by neuskodilo procist si dokumentaci kolem OpenSSL, CA
a spol, aby clovek tusil, co to vlastne dela a proc, protoze
jinak to cele snazeni je takove dost naslepo strilejici.
A pokud ani uzivatele nebudou mit jakousi predstavu o tom,
jak certifikaty funguji, tak to ztraci cele kouzlo. :-)

	M.



Další informace o konferenci Linux