[舊文] 水榭 CA 設定記錄
本篇是從 web.archive.org 找回來的文章,給自己再做個 history note 吧。:cool:
為了讓寄信可以使用 SSL/TLS,於是建了一個 CA 認證。主要的 Reference 在這裡:Eclectica。
所下的指令為:
% cd /etc/ssl/
% mkdir sungCA
% cd sungCA
% mkdir newcerts private
% echo ‘01′ > serial
% touch index.txt
% openssl req -new -x509 -extensions v3_ca -keyout private/cakey.pem -out cacert.pem -days 365
% mkdir sungCA
% cd sungCA
% mkdir newcerts private
% echo ‘01′ > serial
% touch index.txt
% openssl req -new -x509 -extensions v3_ca -keyout private/cakey.pem -out cacert.pem -days 365
這裡會有兩個檔產生出來: private/cakey.pem 以及 cacert.pem 。
目前為止,完成了 root CA 的產生。其中 cacert.pem 可以散布出去,對象就是會用到這台郵件伺服器的使用者(電腦)。
這裡要注意的事,附檔名可能需要改為 .crt 才能讓電腦認得。
再來是為郵件伺服器產生 Certificate:
% cd /etc/sungCA/newcerts/
% openssl req -new -nodes -out sungCA/req.pem
% cd /etc/ssl/
% openssl ca -out sungCA/cert.pem -infiles sungCA/req.pem
% cd sungCA
% cat privkey.pem cert.pem > privkey-cert.pem
% openssl req -new -nodes -out sungCA/req.pem
% cd /etc/ssl/
% openssl ca -out sungCA/cert.pem -infiles sungCA/req.pem
% cd sungCA
% cat privkey.pem cert.pem > privkey-cert.pem
因為伺服器會同時用到 cert 及 privkey 檔,偷懶的話,將它們組合起來(privkey-cert.pem)並複製到郵件設定檔所設定 CA 的目錄就可以了。
以 postfix 為例,只要設定 smtpd_tls_cert_file 及 smtpd_tls_key_file 的路徑。
要啟用的話,記得在 main.cf 裡:
smtpd_use_tls = yes
要是有任何問題,想要重新做一個,記得要先 Revoke:
openssl ca -revoke /etc/ssl/sungCA/newcerts/01.pem
其中的 01 就是看你用的 serial 號碼而定,一般來說目前需要 Revoke 的都是 serial - 1 的號碼。重新做的話只要重覆第二個步驟,也就是產生個別的 Certificate 就可以了。
再來,產生 CA 要輸入一些地區或是組識資料,想要省事的可以直接改 /etc/ssl/openssl.cnf,下面列出水榭使用的預設值:
stateOrProvinceName_default = Taiwan
localityName_default = HsinChu
0.organizationName_default = Dragon2 Club
organizationalUnitName_default = SungSung SysAdm
commonName_default = 這裡不方便講
emailAddress_default = 這裡不能說
localityName_default = HsinChu
0.organizationName_default = Dragon2 Club
organizationalUnitName_default = SungSung SysAdm
commonName_default = 這裡不方便講
emailAddress_default = 這裡不能說
