关于imap ssl自签名证书的制作

关于imap ssl自签名证书的制作

今天整imap ssl的自签名证书,觉得有些不对,上网查查,也没有一个人说得完全

清楚的,没办法,自己看看官方文档,看看man page研究一下。现在终于是研究

明白咋回事了,简单地说一下吧。(以做为备忘)


下面是官方对dovecot的解释和配置:

The imap-login and pop3-login daemons which implement the IMAP and

POP3 protocols are
included in the dovecot package. The use of IMAP and POP is configured

through dovecot; by
default dovecot runs only IMAP. To configure dovecot to use POP:
1. Edit /etc/dovecot.conf to have the line:
protocols = imap imaps pop3 pop3s
2. Make that change operational for the current session by running the

command:
/sbin/service dovecot restart
3. Make that change operational after the next reboot by running the

command:
chkconfig dovecot on
Please note that dovecot only reports that it started the IMAP server,

but also starts the POP3
server.
Unlike SMTP, both of these protocols require connecting clients to

authenticate using a username and
password. By default, passwords for both protocols are passed over the

network unencrypted.
To configure SSL on dovecot:
? Edit the dovecot configuration file /etc/pki/dovecot/dovecot-

openssl.conf as you prefer.
However in a typical installation, this file does not require

modification.

Rename, move or delete the files /etc/pki/dovecot/certs/dovecot.pem

and /etc/pki/
dovecot/private/dovecot.pem.
? Execute the /usr/share/doc/dovecot-1.0/examples/mkcert.sh script

which creates the
dovecot self signed certificates. The certificates are copied in the

/etc/pki/dovecot/certs and
/etc/pki/dovecot/private directories. To implement the changes,

restart dovecot (/sbin/
service dovecot restart).


官方当然说得很简单,但是说的都很经典,只要仔细阅读man page 和example
文件,再结合官方Deployment_Guide那么就能深入理解了。

今天看了一天,到晚上的时候我终于全明白了。
下面解释一下。

冲哥那天讲了关于制作自签名证书的,他讲的步骤如下:

1.修改/etc/dovecot.conf

ssl_cert_file = /etc/pki/dovecot/certs/dovecot.pem
ssl_key_file = /etc/pki/dovecot/private/dovecot.pem

将两行注释打开,第一行是证书文件,第二行是私钥文件。
如果考试,我觉得安全起见应该把

ssl_disable=no

这一行的注释也打开。呵呵。

2.制作证书。
* 使用 Country, State, Locality, Organization Name 的預設值
* Organization Unit 設定為 GLS
* Common Name 設定為 station.example.com
* Email Address 設定為 root@stationX.example.com
这个是要求,在生成的时候会要求一步一步输入。

#openssl genrsa 1024 >server.key
#openssl req -new -key server.key >server.csr
#openssl req -x509 -days 365 -key server.key -in server.csr

>server.crt


这样做我之前看了一下/etc/pki/dovecot/里的各种文件,以为他这样做是不对

的,后来发现这样做也可以,但是不是最好的,跟官方说的有些差距。

在dovecot里面它提供了一个生成自签名证书的脚本,当然这个写得是相当好了

。下面我们就来使用一下。

下面是我的做法。

第一次:

1.将/usr/share/doc/dovecot-1.0.7/examples/mkcert.sh 复制

到/etc/pki/dovecot下面,
#cp dovecot-openssl.cnf a.cnf
#vi a.cnf
  将要求的参数都修改好,一般给的参数都是文件里面没有注释掉的部分

#vi mkcert.sh

  将OPENSSLCONFIG变量里的dovecot-openssl.cnf改为a.cnf.

行了,别的就不用改了,然后
#rm /etc/pki/dovecot/certs/dovecot.pem
#rm /etc/pki/dovecot/private/dovecot.pem
#/etc/pki/dovecot/mkcert.sh

OK,这样就生成新的文件了。再去看看dovecot.pem,一个key文件,一个cert证

书都生成了。这样用起来不用背那个命令了,当然其实也不用背,看看mkert.sh

最后两行就会用了。但是这里的cert.sh和dovecot-openssl.cnf都是写得很好了

,我们直接用就好,不用自己一行一行搞,搞出来的证书还不是牛B的证书,哈

哈。

今天一天有收获啊。好。哈哈。我觉得主要在于明白研究的方法与思路。







补充:(2009-5-5)

关于imaps加密传输,我们的自签名证书是否制作成功可以通过linux下面的mail客户端来验证:

#mutt -f imaps://test@station5.example.com


补充:(2009-5-6)


今天回来反复对比了一下各种方法做的证书有什么区别,发现最好的方法还是

#make -C /etc/pki/tls/certs/ /etc/pki/dovecot/certs/dovecot.pem

然后在配置文件里面把key 和certs都改成/etc/pki/dovecot/certs/dovecot.pem

这样跟考试要求就一样了,之前改证书的配置文件的方法,发现很多它并不采取预设置,而其实我们想让它采取预设值的。
posted @ 2009-04-30 07:27  冷月X  阅读(1279)  评论(0编辑  收藏  举报