23-02-05 12:44
Generiranje novih certifikata za POP3/IMAP/Sendmail
piše IVAN ICO RAKO
Ako se e-mail klijent počeo buniti da je istekao certifikat, morat ćete generirati nove. U ovoj kuharici ukratko opisujemo kako generirati certifikate potrebne za POP3/IMAP/Sendmail.
Vrijeme trajanja certifikata, kao i ostale informacije u certifikatu mogu se provjeriti naredbom:
# openssl x509 -in <certifikat> -noout -text
Gdje je /etc/ssl/certs/imapd.pem certifikat za IMAP,
/etc/ssl/certs/ipop3d.pem certifikat za POP3,
/etc/mail/tls/sendmail-server.crt za Sendmail.
Ako su certifikati doista istekli, generirate ih s iduće tri kratke kuharice.
POP3:
# cd /etc/ssl/certs
# rm `openssl x509 -noout -hash < ipop3d.pem`.0
# rm imapd.pem
# openssl req -new -x509 -days 3650 -nodes -out ipop3d.pem -keyout ipop3d.pem > /dev/null 2>&1 <<EOF
HR
.
<grad>
<puni naziv ustanove>
<ime servera>
<puno ime servera>
root@<puno ime servera>
EOF
# ln -sf ipop3d.pem `openssl x509 -noout -hash < ipop3d.pem`.0
# chown root.root /etc/ssl/certs/ipop3d.pem
# chmod 0640 /etc/ssl/certs/ipop3d.pem
IMAP:
# cd /etc/ssl/certs
# rm `openssl x509 -noout -hash < imapd.pem`.0
# rm imapd.pem
# openssl req -new -x509 -days 3650 -nodes -out imapd.pem -keyout imapd.pem > /dev/null 2>&1 <<EOF
HR
.
<grad>
<puni naziv ustanove>
<ime servera>
<puno ime servera>
root@<puno ime servera>
EOF
# ln -sf imapd.pem `openssl x509 -noout -hash < imapd.pem`.0
# chown root.root /etc/ssl/certs/imapd.pem
# chmod 0640 /etc/ssl/certs/imapd.pem
Očito je, koristi se isti postupak za generiranje certifikata za POP3 i za IMAP. Prvo uđete u taj direktorij, obrišete stare certifikate (certifikate, plus link hash.0 koji pokazuje na certifikat), te generirate novi certifikat. Na kraju se opet napravi taj link (oblika hash.0), te postavi prave dozvole nad certifikatima.
Moguće je također proizvoljno biranje trajanja certifikata opcijom -days kod naredbe openssl. Unaprijed zadano trajanje je 365 dana, a mi smo u ovome primjeru to produžili na 3650 dana ili 10 godina.
Sendmail
Generiranje certifikata za Sendmail ide malo drukčije.
Kuharica za to je:
# rm /etc/mail/tls/*
# cat > /etc/mail/tls/no_prompt <<EOF
HR
.
<grad>
<puni naziv ustanove>
<ime servera>
<puno ime servera>
postmaster@<puno ime servera>
EOF
# /usr/share/sendmail/update_tls
# /etc/init.d/sendmail restart
Time će skripta update_tls donijeti novi starttls.m4, i izgenerirati certifikate. Ubuduće nece trebati mjenjati datoteku no_prompt s podacima za certifikate, nego je dovoljno obrisati stare certifikate, te pokrenuti skriptu update_tls koja će generirati certifikate po podacima iz datoteke no_prompt.
Također provjerite imate li u
/etc/mail/sendmail.mc sljedeću liniju:
include(`/etc/mail/tls/starttls.m4')dnl
Ako je nemate, dodajte je, te pokrenite:
# /usr/share/sendmail/update_sendmail
a on će ponovno izgraditi sendmail.cf, te je sendmail sada potrebno ponovno pokrenuti s:
# /etc/init.d/sendmail restart
VAŽNA NAPOMENA: Za svaki slučaj ne brišite certifikate i starttls.m4, nego ih negdje pohranite pa ih obrišite ako sve prođe uredno.
|
