[zorp-hu] Egymasba agyazott plugok

Balazs Scheidler bazsi@balabit.hu
Wed, 22 Aug 2001 17:43:58 +0200


> > > > miert pont plugot, ha mar van rendes proxy is? amugy itt egy pelda:
> > > 
> > > Van pop3 proxy? Azt hittem, csak a fizetos valtozatban lesz.
> > 
> > a http-re gondoltam, az van a GPL-esben is.
> 
> Bocsanatot kerek, en fogalmaztam rosszul. Plug-ot irtam,
> es proxy-ra gondoltam :) Egyedul a pop3-nal sikerult azt
> is irnom, amire gondoltam.

oke

> 
> > > > a fenti konfig hivatkozik az /etc/zorp/ca.crt/ konyvtarra, illetve az
> > > > /etc/zorp/server.{crt,key} fileokra. A fileok szerintem egyertelmuek, a
> > > > ca.crt konyvtar trusted CA certificate-ket tartalmaz ugyanolyan modon, mint
> > > > az /etc/apache/ssl.crt
> 
> Nem vagyok biztos a dolgomban, ezert elkelne egy kis segitseg.
> Osszehoztam a kapcsolatot (egyelore sima plug proxy-val) a
> wines kliens es a courier spop3d-ssl kozott. Csak mindig bedob
> egy ablakot a kliensnek, hogy nincs hitelesitve a kulcs. A
> CA.pl segitsegevel elkeszitettem az igazolasokat, mar csak a
> megfelelo helyre kellene masolni oket. De melyiket hova?
> Letrejott egy newcert.pem, egy newreq.pem fajl, es a demoCA
> konyvtarban egy cacert.pem fajl. Melyiket hova kell tenni,
> hogy minden mukodjon? Ahogy en gondolom: a newcert.pem az
> igazolas, a newreq.pem a privat kulcsom, a cacert.pem a CA
> igazolasa. A newcert.pem az amit a courier spop3d-ssl-je
> hasznal a /usr/share/pop3d.pem fajl neven. A cacert.pem fajlt
> kell eljuttatni a winekhez, es azt kell beimportalniuk az
> Outlookba. Na de hova kell tenni a titkos kulcsot? Es ezekbol
> melyik kell a Zorpnak, es hova kell masolni? Es milyen neven?
> A nevek kotottek egyebkent, vagy tetszes szerinti nevet
> adhatok a fajloknak?

tisztazzuk a dolgokat:

cacert.pem - CA publikus kulcsa, ezt kell eljuttatni az outlooknak, hogy
             benne kell megbizni
newreq.pem - ez egy Certificate Signing Request (CSR), melyet kulcsgeneralas utan
             kuldd el az igenylo a CA-nak alairasra.
newcert.pem - A CSR alairasa utan letrejovo certificate

Kell, hogy legyen meg valahol egy a newreq.pem-hez tartozo privat kulcs. En
a kovetkezo lepeseket javaslom (elso korben Zorp nelkul):

CA.pl-el letrehozunk egy CA-t:

/usr/lib/ssl/misc/CA.pl -newca
(A CA-ra vonatkozo adatokat beirod stb., letrejon a demoCA alkonyvtar)

openssl req -newkey rsa:1024 -keyout pop3s.key -out pop3s.csr
(letrejon egy privat kulcs, bekeri a pop3s service adatait, es az ahhoz tartozo csrt)

openssl ca -in pop3s.csr -out pop3s.crt
(letrejon a pop3s.crt)

Namost, a demoCA/cacert.pem-et be kell importalni a windows-os gep
kulcstaraba, mint trusted kulcs. Ezt nem tudom pontosan hogyan kell, de az
IE-ben a Kulcsok alatt biztosan megteheto. A Courier-IMAP-nak szuksege van a
pop3s.crt-re, es a pop3s.key-re. Elkepzelheto, hogy mindkettot egy fileban
keresi, akkor ossze kell masolni a -----BEGIN xxxxx ----- reszeket egy
fileba, es azt megadni neki.

Ezek utan elvileg Zorp-os pluggal, vagy kozvetlenul mennie kell a dolognak.
A zorppal mit szeretnel csinalni? A zorpig es a zorptol is titkositottan
menjen a forgalom? Ha igen, akkor ket dolgot kell beallitanod:

1. a kliens oldalon bekapcsolni az ssl-t (self.client_need_ssl = TRUE), es
   krealni egy certificate+privat kulcsot az elozoeknek megfeleloen, amit
   megadsz a proxynak (self.client_cert = '/etc/zorp/pop3sproxy.crt'
   ill. self.client_key = 'etc/zorp/pop3sproxy.key') Itt nem kell
   peer certificate ellenorzes.

2. a szerver oldalon szinten bekapcsolod az SSL-t (self.server_need_ssl =
   TRUE). Gondolom, hogy szeretned authentikalni a POP3S szervert, ehhez be
   kell kapcsolni a certificate ellenorzest (self.server_verify_type =
   SSL_VERIFY_REQUIRED_TRUSTED), majd meg kell mondanod a Zorp-nak, hogy
   milyen CA-k legyenek szamara elfogadhatoak (self.server_ca_directory =
   '/etc/zorp/pop3s.ca/')

Na roviden ennyi, remelem ertheto voltam :)

-- 
Bazsi
PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1