Hrvatska akademska i istraživačka mreža
  NASLOVNICA MAPA WEBA TRAŽILICA KONTAKTI CARNET WEB
Hrvatska akademska i istraživačka mreža
 
menu 4
Sigurnost
menu 4
Distribucija
menu 4
Pomoć
menu 4
Dokumenti
menu 4
menu 4

 

 

23-02-05 12:44
Generiranje novih certifikata za POP3/IMAP/Sendmail

piše IVAN ICO RAKO

Ako se e-mail klijent počeo buniti da je istekao certifikat, morat ćete generirati nove. U ovoj kuharici ukratko opisujemo kako generirati certifikate potrebne za POP3/IMAP/Sendmail.

 

Vrijeme trajanja certifikata, kao i ostale informacije u certifikatu mogu se provjeriti naredbom:

 

# openssl x509 -in <certifikat> -noout -text

 

Gdje je /etc/ssl/certs/imapd.pem certifikat za IMAP,

/etc/ssl/certs/ipop3d.pem certifikat za POP3,

/etc/mail/tls/sendmail-server.crt za Sendmail.

 

Ako su certifikati doista istekli, generirate ih s iduće tri kratke kuharice.

 

POP3:

# cd /etc/ssl/certs

# rm `openssl x509 -noout -hash < ipop3d.pem`.0

# rm imapd.pem

# openssl req -new -x509 -days 3650 -nodes -out ipop3d.pem -keyout ipop3d.pem > /dev/null 2>&1 <<EOF

HR

.

<grad>

<puni naziv ustanove>

<ime servera>

<puno ime servera>

root@<puno ime servera>

EOF

# ln -sf ipop3d.pem `openssl x509 -noout -hash < ipop3d.pem`.0

# chown root.root /etc/ssl/certs/ipop3d.pem

# chmod 0640 /etc/ssl/certs/ipop3d.pem

 

IMAP:

# cd /etc/ssl/certs

# rm `openssl x509 -noout -hash < imapd.pem`.0

# rm imapd.pem

# openssl req -new -x509 -days 3650 -nodes -out imapd.pem -keyout imapd.pem > /dev/null 2>&1 <<EOF

HR

.

<grad>

<puni naziv ustanove>

<ime servera>

<puno ime servera>

root@<puno ime servera>

EOF

# ln -sf imapd.pem `openssl x509 -noout -hash < imapd.pem`.0

# chown root.root /etc/ssl/certs/imapd.pem

# chmod 0640 /etc/ssl/certs/imapd.pem

 

Očito je, koristi se isti postupak za generiranje certifikata za POP3 i za IMAP. Prvo uđete u taj direktorij, obrišete stare certifikate (certifikate, plus link hash.0 koji pokazuje na certifikat), te generirate novi certifikat. Na kraju se opet napravi taj link (oblika hash.0), te postavi prave dozvole nad certifikatima.

 

Moguće je također proizvoljno biranje trajanja certifikata opcijom -days kod naredbe openssl. Unaprijed zadano trajanje je 365 dana, a mi smo u ovome primjeru to produžili na 3650 dana ili 10 godina.

 

Sendmail

 

Generiranje certifikata za Sendmail ide malo drukčije.

Kuharica za to je:

 

# rm /etc/mail/tls/*

# cat > /etc/mail/tls/no_prompt <<EOF

HR

.

<grad>

<puni naziv ustanove>

<ime servera>

<puno ime servera>

postmaster@<puno ime servera>

EOF

# /usr/share/sendmail/update_tls

# /etc/init.d/sendmail restart

 

Time će skripta update_tls donijeti novi starttls.m4, i izgenerirati certifikate. Ubuduće nece trebati mjenjati datoteku no_prompt s podacima za certifikate, nego je dovoljno obrisati stare certifikate, te pokrenuti skriptu update_tls koja će generirati certifikate po podacima iz datoteke no_prompt.

 

Također provjerite imate li u

/etc/mail/sendmail.mc sljedeću liniju:

 

include(`/etc/mail/tls/starttls.m4')dnl

 

Ako je nemate, dodajte je, te pokrenite:

 

# /usr/share/sendmail/update_sendmail

 

a on će ponovno izgraditi sendmail.cf, te je sendmail sada potrebno ponovno pokrenuti s:

 

# /etc/init.d/sendmail restart

 

 

VAŽNA NAPOMENA: Za svaki slučaj ne brišite certifikate i starttls.m4, nego ih negdje pohranite pa ih obrišite ako sve prođe uredno.





[Lista]
Ovu uslugu CARNeta realizira Sveučilišni računski centar Sveučilišta u Zagrebu
  Copyright ©2005. CARNet. Sva prava zadržana. Impressum.
Mail to
sys-portal@CARNet.hr