Debian 3.1(Sarge) → Debian 4.0 (etch)にアップグレードしてから原因が
分からない状態で凄く困って色々なサイトを確認してみると
思わない結果が判明しました
根本的な原因は以下のログ内容になります
【ログ内容】
postfix/smtpd[1298]: warning: cannot get certificate from file /etc/ssl/certs/server.csr
postfix/smtpd[1298]: warning: TLS library problem: 1298:error:0906D06C:PEM routines:PEM_read_bio:no start line
:pem_lib.c:644:Expecting: CERTIFICATE:
postfix/smtpd[1298]: warning: TLS library problem: 1298:error:140DC009:SSL routines:SSL_CTX_use_certificate_ch
ain_file:PEM lib:ssl_rsa.c:727:
postfix/smtpd[1298]: cannot load RSA certificate and key data
ログ内容を確認すると、server.csrが読み込めてない為だと思っていたのですが
色々なサイトを確認するとpostfix_2.3.8 が使えない事が判明しました
また、ダウングレードしようにも出来ない事も・・・
■参考サイト
http://www.postfix-jp.info/ML/arc-2.3/msg00110.html
■対応方法
独自にパッケージを構築する方法しか無いと判明しました
今後どうしようかと検討したいと思います・・・
その後、色々なサイトなどを確認して以下の対応方法が判明しました
■参考サイト
・メールサーバー構築(Postfix+Dovecot)
・メールサーバー間通信内容暗号化(OpenSSL+Postfix+Dovecot)
・Postfixのセキュリティ対策
■原因説明
server.csrの認証ファイルが正常に読めない状態だったらしいです。
また、Debian 3.1(Sarge)の頃は問題無く稼動してたのですが・・・
■対応方法
①.cd /etc/ssl/certs
認証関連のファイルがある場所に移動します。
②.openssl genrsa -aes256 2048 > server.key
秘密鍵を 2048 bit で RSA で作成し、秘密鍵を共通鍵暗号の AES 256 bit で暗号化にするらしい
・Enter pass phrase: (Hackerhehehe) の確認画面が表示するので
パスワードを入力する。
・Verifying - Enter pass phrase:(Hackerhehehe)の再度確認画面が
表示するのでパスワードを入力する。
③.openssl rsa -in server.key -out server.key
サーバー鍵からパスワード削除する。
・Enter pass phrase for .key:サーバー鍵作成時に設定した
パスワード(Hackerhehehe)を入力する。
・writing RSA key 削除された事の確認メッセージが表示する。
④.openssl req -new -key server.key -out server.csr
証明書要求に使用する公開鍵を作成する。
・Country Name (2 letter code) []:
JP と入力する。
・State or Province Name (full name) []:
例)Tokyo と入力する。(都道府県名)
・Locality Name (eg, city) []:
例)Shibuya と入力する。(市区町村名)
・Organization Name (eg, company) []:Criterion
例)blogweb.dip.jpと入力する。(サイト名)
・Organizational Unit Name (eg, section) []:
例)abcと入力する。(部署名)
何も入力しなくても問題ないです
・Common Name (eg, fully qualified host name) []:
例)blogweb.dip.jpと入力する。(サーバーのホスト名)
・Email Address []:
例)abc@blogweb.dip.jpと入力する。(管理者用のメールアドレス)
・A challenge password []:
Enterを押す。
パスワードは入力しなくても良いです
・An optional company name []:
Enterを押す。
再度、パスワードの確認が表示します。
⑤.openssl x509 -days 365 -in server.csr -out server.pem -req -signkey server.key
自己証明書の作成を作成する。
⑥.openssl genrsa -out cakey.pem 2048
個人認証用の鍵を作成する。
⑦. openssl req -new -x509 -days 365 -key cakey.pem -out cacert.pem
個人認証用の証明鍵を作成する。
・Country Name (2 letter code) []:
JP と入力する。
・State or Province Name (full name) []:
例)Tokyo と入力する。(都道府県名)
・Locality Name (eg, city) []:
例)Shibuya と入力する。(市区町村名)
・Organization Name (eg, company) []:Criterion
例)blogweb.dip.jpと入力する。(サイト名)
・Organizational Unit Name (eg, section) []:
例)abcと入力する。(部署名)
何も入力しなくても問題ないです
・Common Name (eg, fully qualified host name) []:
例)blogweb.dip.jpと入力する。(サーバーのホスト名)
・Email Address []:
例)abc@blogweb.dip.jpと入力する。(管理者用のメールアドレス)
⑧.echo 01 > ca-cert.srl
⑨.openssl x509 -CA cacert.pem -CAkey cakey.pem -CAserial ca-cert.srl -req -days 365 -in server.csr -out server.crt
⑩.(cat server.crt ; cat server.key) > mail.pem
⑧~⑩の操作でサーバーの証明書を作成する。
⑪.chmod 400 で権限変更
ca-cert.srl
cacert.pem
cakey.pem
mail.pem
server.crt
server.csr
server.key
server.pem
上記のファイル全ての権限を chmod 400 にする。
⑫.vi /etc/postfix/main.cf
Postfix のファイルを編集する。
⑬.以下の設定場所の内容を変更する。
【変更前】
smtpd_tls_cert_file = /etc/ssl/certs/server.csr
smtpd_tls_key_file = /etc/ssl/certs/server.key
【変更後】
smtpd_tls_cert_file = /etc/ssl/certs/mail.pem
smtpd_tls_key_file = /etc/ssl/certs/mail.pem
⑭./etc/init.d/postfix restart
Postfix を再起動する。
