SSL сертификат в качестве сертификата почтового сервера

EXIM, sendmail, postfix, Dovecot и прочие. Решение проблем связанных с работой электронной почты

Модератор: xM

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
xM
ст. лейтенант
Сообщения: 1255
Зарегистрирован: 2009-01-15 23:57:41
Откуда: Königsberg
Контактная информация:

SSL сертификат в качестве сертификата почтового сервера

Непрочитанное сообщение xM » 2010-12-20 20:13:31

У меня научно-практический вопрос.
Имеется купленный у буржуйской конторы SSL сертификат web-сервера - корневой сертификат .crt и собственно наш .pem
Два вопроса.
1. Можно ли использовать его же в качестве сертификата почтового сервера (Exim + Dovecot)?
2. Правильно (или, другими словами), корректно так будет сделать?
С мотивировкой, если можно.
Спасибо!
IT voodoo blog https://kostikov.co

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: SSL сертификат в качестве сертификата почтового сервера

Непрочитанное сообщение hizel » 2010-12-20 20:34:25

корневой сертификат и сертификат на веб-сервер немного разные вещи
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
xM
ст. лейтенант
Сообщения: 1255
Зарегистрирован: 2009-01-15 23:57:41
Откуда: Königsberg
Контактная информация:

Re: SSL сертификат в качестве сертификата почтового сервера

Непрочитанное сообщение xM » 2010-12-20 23:06:46

hizel писал(а):корневой сертификат и сертификат на веб-сервер немного разные вещи
Ессесно. Вопрос не об этом.
IT voodoo blog https://kostikov.co

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35066
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: SSL сертификат в качестве сертификата почтового сервера

Непрочитанное сообщение Alex Keda » 2010-12-22 0:56:36

почему нет?
Убей их всех! Бог потом рассортирует...

Аватара пользователя
xM
ст. лейтенант
Сообщения: 1255
Зарегистрирован: 2009-01-15 23:57:41
Откуда: Königsberg
Контактная информация:

Re: SSL сертификат в качестве сертификата почтового сервера

Непрочитанное сообщение xM » 2010-12-22 9:16:02

Alex Keda писал(а):почему нет?
Это в точности та же мысль, что пришла мне в голову. :-D
Понять бы ещё почему да. :ROFL: Серьёзно. Вот, например, применимы ли рутовые сертификаты поставщика в почтовой системе...
IT voodoo blog https://kostikov.co

Аватара пользователя
xM
ст. лейтенант
Сообщения: 1255
Зарегистрирован: 2009-01-15 23:57:41
Откуда: Königsberg
Контактная информация:

Re: SSL сертификат в качестве сертификата почтового сервера

Непрочитанное сообщение xM » 2011-01-15 15:18:18

Немного покопавшись в документации я таки прикрутил сертификат, выданный сторонним центром авторизации.
Имеем:
beta# cd /etc/ssl
beta# ll
total 24
-r--r--r-- 1 root wheel 1968 Dec 18 14:53 beta.crt
-r--r--r-- 1 root wheel 1675 Dec 18 15:38 beta.key
-r--r--r-- 1 root wheel 9472 Dec 22 19:13 openssl.cnf
-r--r--r-- 1 root wheel 4689 Dec 18 14:53 sf_bundle.crt
Первые два - понятно что. Файл sf_bundle.crt - CA сертификат провайдера.
Конфиг Exim тогда приобретает вот такой вид (в части TLS):
...
tls_advertise_hosts = *
tls_try_verify_hosts = *

tls_certificate = /etc/ssl/beta.crt
tls_privatekey = /etc/ssl/beta.key
tls_verify_certificates = /etc/ssl/sf_bundle.crt
...
Также я добавил в log_selector пару параметров +tls_peerdn и +tls_certificate_verified
для логгирования работы с сертификатами.
Как-то так.
IT voodoo blog https://kostikov.co