この記事は過去のUPKIイニシアティブに掲載されていたものです

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-odcert:00065] Re: pop3sとimapsでの中間CA証明書利用について



京都府立大学 寺町です。

岡部先生、田邊先生、ご教示ありがとうございました。

POP3S/IMAPSの証明書置き換えができました。

以下にSEからの報告を参考として添付します。
何らかの参考となれば幸いです。


■ジオトラストの旧証明書の構成
 場所:/usr/share/ssl/certs
 POPS証明書:ipop3d.pem
 IMAPS証明書:imapd.pem
 秘密キー: mail.key
 証明書: mail.crt
 POPS,IMAPS証明書の構成:秘密鍵+証明書

■事前準備
秘密キーを作成。新規の証明書を取得。NIIより中間証明書を取得。
それらのファイルを /usr/share/ssl/certsフォルダにコピー
 秘密鍵: mailnew.key
 証明書: mailnew.crt
 NII中間証明書: nii-odca2.crt

■入替前作業
# cd /usr/share/ssl/certs

秘密鍵をコピー
# cp -pi mailnew.key ipop3dnew.pem

証明書を追記
# cat mailnew.crt >> ipop3dnew.pem

中間証明書を追記
# cat nii-odca2.crt >> ipop3dnew.pem

IMAPS用に証明書をコピー
# cp -pi cp ipop3dnew.pem imapdnew.pem

■既存の証明書のバックアップ
# cp -pi ipop3d.pem ipop3d.201104xx.pem
# cp -pi ipmapd.pem imapd.201104xx.pem

■入替作業
新規に作成した証明書を既存の証明書と置換え
# mv ipop3dnew.pem ipop3d.pem
# mv imapdnew.pem imapd.pem

■POPS,IMAPSの再起動
# /etc/rc.d/init.d/xinetd restart




(2011/04/19 18:36), Yasuo Okabe wrote:
> 京都府立大学 寺町さま
> 
> 京都大学の岡部です。
> 
> こちらで dovecot (POPS/IMAPS)に入れた時には下記のような手順でした。ご参考に
> なれば幸いです。
> 
>      * NIIから発行されたサーバ証明書を古い証明書と置き換える
>            o 古い鍵、CSR、中間CA証明書、証明書をリネーム
> 
>               $ cd /usr/local/certs
>               $ sudo mv cx.key cx.key.old
>               $ sudo mv cx.csr cx.csr.old
>               $ sudo mv cacert.crt cacert.crt.old
>               $ sudo mv cx.cert cx.cert.old
>               $ cd /etc/pki/dovecot/private
>               $ sudo mv cx.key cx.key.old
>               $ cd /etc/pki/dovecot/certs
>               $ sudo mv cx.cert cx.cert.old
> 
>      * NIIからのメールに記載されたURLから証明書(cx.net.ist.i.kyoto-u.ac.jp.ce
> r)を取得して保存
> 
>         $ cd /usr/local/certs
>         $ sudo cp cx.net.ist.i.kyoto-u.ac.jp.cer cx.cert
> 
>      * https://repo1.secomtrust.net/sppca/nii/odca2/から中間CA証明書(nii-odca2.crt)を取得して保存し、cx.certに追加
> 
>         # cat nii-odca2.crt>>  cx.cert
> 
>      * 新しく作成した鍵、CSRをリネーム
> 
>         $ sudo mv cx-new.key cx.key
>         $ sudo mv cx-new.csr cx.csr
> 
>      * dovecotが読めるように鍵と証明書をコピー
> 
>         $ sudo cp /usr/local/certs/cx.key /etc/pki/dovecot/private
>         $ sudo cp /usr/local/certs/cx.cert /etc/pki/dovecot/certs/
> 
>      * dovecot再起動
> 
>         $ sudo /etc/init.d/dovecot stop
>         $ sudo dovecot -p
> 
>        (秘密鍵のパスフレーズ入力)
> 
> 2011年 4月 19日(火)4:20 pm に 寺町伸太郎(京都府大企画室) さんは書きまし
> た:
>> 京都府立大学 企画課 寺町と申します。
>>
>> こちらでは初めてになります。宜しくお願いします。
>>
>> UPKIサーバ証明書プロジェクトの証明書でメールサーバの
>> SSL証明書を置き換えようとしたのですが、webメールに使う
>> apache2.0はうまくいきそうではあるものの、pop3sとimapsの
>> 中間証明書をどこに置けばいいかでつまづいています。
>>
>> http://jp.globalsign.com/support/index.php?action=artikel&cat=21&id=201&artlang=ja
>>
>> を参考にしてみれば、「CSR・証明書・中間CA証明書」の順にtextを並べた
>> pemファイルを置けばいいのかなとも思うのですが、確信がありません。
>>
>> 従前はジオトラストの証明書でCSR・証明書が1つのファイルになったpem
>> ファイルを置いていました。
>>
>> pop3sやimapsに本プロジェクトのSSL証明書を導入されたご経験のある
>> 機関様はいらっしゃいませんでしょうか。
>> もしあれば情報をいただければ幸いです。
>>
>> こちらの環境はRedHatES3とopenssl 0.9.7a-33.25です。
>> pop3sはQpoperを使用しています。
>>
>> よろしくおねがいします。
>>
>> --
>> =======================================
>> 京都府立大学 事務局 企画課
>>           寺町 伸太郎
>> =======================================
>>
> 
> 


-- 
=======================================
京都府立大学 事務局 企画課
         寺町 伸太郎
E-mail xxxxxxxxxx@xxxxxxxxx
TEL 075-703-5147  FAX 075-703-5149 内線6005
=======================================