On Wed, Aug 22, 2001 at 05:43:58PM +0200, Balazs Scheidler wrote:
hogy minden mukodjon? Ahogy en gondolom: a newcert.pem az igazolas, a newreq.pem a privat kulcsom, a cacert.pem a CA igazolasa. A newcert.pem az amit a courier spop3d-ssl-je hasznal a /usr/share/pop3d.pem fajl neven. A cacert.pem fajlt kell eljuttatni a winekhez, es azt kell beimportalniuk az
tisztazzuk a dolgokat:
cacert.pem - CA publikus kulcsa, ezt kell eljuttatni az outlooknak, hogy benne kell megbizni
Ez oke, ennek nem valtoztattad meg a nevet :)
newreq.pem - ez egy Certificate Signing Request (CSR), melyet kulcsgeneralas utan
Ezt nevezted te pop3s.key -nek. Meg pop3s.csr -nek is.
kuldd el az igenylo a CA-nak alairasra. newcert.pem - A CSR alairasa utan letrejovo certificate
Ezt nevezted te pop3s.crt -nek. Jol kovettem a nevek megcsereleset? Bocsanatot kerek, amiert sokat fogok idezni az elozo levelbol, de nem sikerult megoldani a leirt modon a problemat. Leirom, hogy mit csinaltam, es hogy hol akadtam el.
Kell, hogy legyen meg valahol egy a newreq.pem-hez tartozo privat kulcs. En
A demoCA/private/ konyvtarban letrejott egy cakey.pem nevu fajl. De mihez kell ez, es mit kell vele csinalni?
a kovetkezo lepeseket javaslom (elso korben Zorp nelkul):
CA.pl-el letrehozunk egy CA-t:
/usr/lib/ssl/misc/CA.pl -newca (A CA-ra vonatkozo adatokat beirod stb., letrejon a demoCA alkonyvtar)
Megcsinaltam. Beirtam egy jelszot, aztan a kerdesekre a kovetkezo valaszokat adtam: Country Name (2 letter code) [AU]:HU State or Province Name (full name) [Some-State]:Hungary Locality Name (eg, city) []:Miskolc Organization Name (eg, company) [Internet Widgits Pty Ltd]:Cegnev Organizational Unit Name (eg, section) []:Sysadmin Common Name (eg, YOUR name) []:a_gep_belso_halorol_lathato_neve Email Address []:root@cegnev.hu
openssl req -newkey rsa:1024 -keyout pop3s.key -out pop3s.csr (letrejon egy privat kulcs, bekeri a pop3s service adatait, es az ahhoz tartozo csrt)
Ugyanazokat adtam meg, mint a fentinel.
openssl ca -in pop3s.csr -out pop3s.crt (letrejon a pop3s.crt)
Erre viszont azt mondja, hogy Using configuration from /usr/lib/ssl/openssl.cnf Enter PEM pass phrase: Check that the request matches the signature Signature ok The Subjects Distinguished Name is as follows countryName :PRINTABLE:'HU' stateOrProvinceName :PRINTABLE:'Hungary' localityName :PRINTABLE:'Miskolc' organizationName :PRINTABLE:'Cegnev' organizationalUnitName:PRINTABLE:'Sysadmin' commonName :PRINTABLE:'a_gep_belso_halorol_lathato_neve' emailAddress :IA5STRING:'root@cegnev.hu' HU:invalid type in 'policy' configuration Es a letrejovo pop3s.crt fajl 0 byte meretu. Ebbol en azt a kovetkeztetest vontam le, hogy nem sikerult valami miatt alairnia a kulcsot. Mi lehetett a gond? Az emlitett fajlban (/usr/lib/ssl/openssl.cnf -> link a /etc/ssl/openssl.cnf fajlra) ugyanazok szerepelnek, mint amiket a kerdesekre valaszoltam: # For the CA policy [ policy_match ] countryName = HU stateOrProvinceName = Hungary organizationName = Cegnev organizationalUnitName = Sysadmin commonName = a_gep_belso_halorol_lathato_neve emailAddress = root@cegnev.hu
Namost, a demoCA/cacert.pem-et be kell importalni a windows-os gep kulcstaraba, mint trusted kulcs. Ezt nem tudom pontosan hogyan kell, de az
Ez akkor azt fogja jelenteni, hogy akinel ez a kulcs van, az meg fog bizni a szerverben, ugye? Tehat nem erdekes, ha valaki jogosulatlanul hozzajut ehhez a kulcshoz.
IE-ben a Kulcsok alatt biztosan megteheto. A Courier-IMAP-nak szuksege van a pop3s.crt-re, es a pop3s.key-re. Elkepzelheto, hogy mindkettot egy fileban keresi, akkor ossze kell masolni a -----BEGIN xxxxx ----- reszeket egy fileba, es azt megadni neki.
Ha jol ertettem, akkor te a newreq.pem fajlt nevezted el ketfelekeppen. Tehat nalam csak egy fajl van, es ezt kell megadni a Courier-nak.
Ezek utan elvileg Zorp-os pluggal, vagy kozvetlenul mennie kell a dolognak.
Nagyon orulnek, ha eljutnek eddig :)
A zorppal mit szeretnel csinalni? A zorpig es a zorptol is titkositottan menjen a forgalom? Ha igen, akkor ket dolgot kell beallitanod:
A vegso cel az ez lenne. Ha eljutok addig, hogy a sima pluggal mukodik, akkor kiprobalom. Akkor most leirom, hogy en hogyan generaltam a fajlokat. Elotte szerkesztettem egy picit ezt a CA.pl fajlt. Kiegeszitettem a kovetkezovel: # create a certificate system ("$REQ -new -x509 -nodes -keyout newreq.pem -out newreq.pem $DAYS"); $RET=$?; print "Certificate (and private key) is in newreq.pem\n" } elsif (/^-newreq$/) { # create a certificate request system ("$REQ -new -nodes -keyout newreq.pem -out newreq.pem $DAYS"); Mindket system-mel kezdodo sorba beirtam a -nodes kapcsolot. CA.pl -newca Itt ugyanazokat a valaszokat adtam, amiket fent mar leirtam. CA.pl -newreq (openssl req -new -keyout newreq.pem -out newreq.pem -days 365) A valaszok itt is ugyanazok. CA.pl -sign Sign the certificate? [y/n]:y 1 out of 1 certificate requests certified, commit? [y/n]y Write out database with 1 new entries Data Base Updated Signed certificate is in newcert.pem Szoval ugy nez ki, hogy itt sikeresen alairta. En a CA.pl fajlban leirtak alapjan generaltam a kulcsokat, meghagyva az alapertelmezett neveket. Miert nem mukodik az altalad leirt verzio, es jo-e az, ahogy en csinaltam a dolgokat? Megprobalom osszefoglalni a sajat szavaimmal: 1. Kell generalni egy CA publikus kulcsot, amit el kell juttatni a klienseknek (be kell importalniuk). 2. Ezutan kell generalni egy Certificate Signing Request fajlt, amit a CA-val kell aliratni. 3. Ha alairtak a Certificate Signing Request -et, akkor kapunk egy certificate -et. Es azt hiszem, hogy itt elvesztettem a fonalat :) Kiegeszitene valaki az osszefoglalot a sajat szavaival? A vegen a fajlneveket hozzapaszitanank az osszefoglalo megfelelo reszeihez. -- Udvozlettel Zsiga