[linux] RE: pop3 cez ssl

Martin Borbely martin-list na acont.sk
Čtvrtek Březen 1 11:23:17 CET 2001


Na adrese
http://www.rickk.com/sslwrap/
je popis na rozchodenie ssl pre pop3, imap, smtp atd.
Posielam to aj do konfery aby mohol aj niekto skusenejsi poradit. Mne to
chodi presne tak isto ako tebe cize ma upozornuje na certifikat, ktory
nezodpoveda  jeho internetovej adrese. Cize viac ti poradit neviem, chodi mi
to tak isto ako tebe.
Tiez ma zaujima ako by mal vyzerat ten link na server.pem

Martin

> > Podla readme treba upravit inetd.conf takto:
> > imaps stream tcp nowait sslwrap /usr/sbin/tcpd /usr/local/sbin/sslwrap
> > -cert /usr/local/ssl/certs/server.pem -port 143
> >
> > pop3s stream tcp nowait sslwrap /usr/sbin/tcpd /usr/local/sbin/sslwrap
> > -cert /usr/local/ssl/certs/server.pem -port 110
>
> Ok upravil som.
>
> > Mal by si mat vyrobeny certifikat:
> > cd /usr/local/ssl/certs
> > /usr/local/ssl/bin/req -new -x509 -nodes -out server.pem -keyout
> > server.pem -days 365
>
> toto som musel upravit na:
> /usr/local/ssl/bin/openssl req -new -x509 -nodes -out server.pem -keyout
> server.pem -days 365
> kedze po instalacii sa mi nevytvorila binarka req, ale iba openssl, ale
> preslo to OK.
> req je volba pre openssl
> vytvoril sa mi subor server.pem, ktory obsahuje RSA privatny kluc a
> certifikat.
> OT: kde mi to vytvorilo verejny kluc k tomuto privatnemu?
>
> > ln -s server.pem `/usr/local/ssl/bin/x509 -noout -hash < server.pem`.0
>
> Toto som musel rovnako trochu upravit na:
> ln -s server.pem `/usr/local/ssl/bin/openssl x509 -noout -hash <
> server.pem`.0
>
> vytvoril sa mi subor link
> pismenkovo-ciselkovy.0
> znak "`" som daval z klavesy pod "~". a na konci je .0 =.nula - co sa mi
> velmi nezda....
> je to link, teda je to obsahovo rovnaky subor (pozeral som do vnutra oboch
a
> zdaju sa mi binarne rovnake - vizualne), akurat ma divne meno.
>
> Ak som namiesto znakov "`" dal znak "'" (pod "), tak sa vytvoril v
adresari
> /usr/local/ssl/bin subor s dlhym nazvom
> openssl x509 -noout -hash < server.pem.0, ktory je linkom na server.pem,
co
> sa mi zda ako riadny nezmysel....
>
> Co robi - alebo ma robit ten link a ktory program ho pouziva?
> Preco pripona 0 - nula? (skusal som aj Oo - velke a male pismenko -
vtvorili
> sa subory
> s rovnakym pismenkovo-ciselkovym menom s adekvatnou priponou O, o.
>
> > V Outlooku nastav nastroje/konta/ssl-konto/spresnenie/
> > pod POP3 (110) odfajkni: Tento server vyzaduje bezpecne spojenie (ssl)
> > cislo portu sa same zmeni na 995.
>
> To je OK, problemy som mal pri zaskrtnuti aj na odchadzajucu postu (SSL).
> Musel som dorobit riadok
> smtps stream tcp nowait uzivatel /usr/sbin/tcpd
> /usr/local/sbin/sslwrap -cert /usr/local/ssl/certs/server.pem -port 25
> v outlooku po zaskrtnuti SSL rucne zmenit port na 465.
>
> cim som si povolil port 465 na prijem SMTP cez SSL (vratne kontroly v
> /etc/services) na servri a z hladiska zabezpecenia som musel povolit v
> /etc/hosts.access
> sslwrap: ALL
> imapd: 127.0.0.1
> ipop3d: 127.0.0.1
> a sendmail bezi mimo tcpd, takze ten bol OK.
>
> Takze vysledny aktualny stav je:
>
> Po pripojeni Outlooku 2000 aj expres to krici, ze server, na ktory sa
> pripajam pouziva
> bezpecnostny certifikat, ktory nezodpoveda jeho adrese.
> Po odklepnuti, ze akceptujem aj takyto server mi stiahne postu a takisto
> posiela postu cez SSL.
>
> Zda sa mi, ze som urobil niekde chybu pri zadavani udajov pre certifikat
po
> spusteni
> ... req ....
> ked to malo par otazok.
> Co by sa tam malo zadavat.
>
> Krici to aj Tebe, alebo sa Ti to podarilo nejako odstranit?
>
> Zatial neviem rozchodit spojenie po zaskrtnuti Prihlasit sa s pouzitim
> Overenia zabezpecenym heslom na karte
> konta-vlastnosti-servery
>
> Zatial to cele pouzivam iba ja, kedze to sustavne otravovanie s
certifikatom
> by beznym
> pracovnikom islo na nervy (vlastne hlavne mne, lebo po kazdej takejto
hlaske
> by ma volali
> k pocitacu - co s tym maju robit...), a naucit ich ignorovat certifikaty
> tiez nie je
> velmi dobre...
>
> Zatial dakujem za nakopnutie, budem ale musiet dalej badat...
>
> Dodo.
>




Další informace o konferenci linux