smtp.gmail.comで、SASL認証リレーpostfixを使用するのに役立つブログを見つけました。ステップの1つは次のとおりです。
cat /etc/ssl/certs/Thawte_Premium_Server_CA.pem | \
sudo tee -a /etc/postfix/smtp_cacert.pem
このような内容を読むと少し心配になります。なぜなら.pem
、霜に霜を付けると、何が起こるのか完全には確信できないからです。私は.pem
それを使ってそれを作りました:
openssl req -new -x509 -days 365 -nodes -out smtp_cacert.pem \
-keyout smtp_cacert.key`...
.pem
作成した凍結ファイルにThawteを追加すると、どのようなリスクがありますか?- ThawteをSSLに接続すると、SSLにどのような影響がありますか
.pem
?
答え1
複数のPEMファイルを結合する正しい順序は次のとおりです。
正しいPEMシーケンスは次のとおりです。
-----BEGIN RSA PRIVATE KEY-----
(Your Private Key: your_domain_name.key)
-----END RSA PRIVATE KEY-----
-----BEGIN CERTIFICATE-----
(Your Primary SSL certificate: your_domain_name.crt)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
(Your Intermediate certificate: IntermediaryCA.crt)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
(Your Root certificate: TrustedRoot.crt)
-----END CERTIFICATE-----
持っていないもの(またはファイルに含めたくないもの)は省略できます。しかし、順序は最も具体的なものから最も具体的ではない順序です。
- 鍵
- あなたの証明書
- 仲介 CA 証明書
- ルートCA証明書
仲介者が複数ある場合は、チェーンと同じ順序で順次リストを続けます。
すべてのプログラムがこの順序を必要とするわけではなく、一部のプログラムは自分で見つけます。しかし、Postfixとstunnelの両方がこのコマンドが必要であることを経験しました。
答え2
生成されたファイルにThawte .pemを追加すると、どのようなリスクがありますか?
まったく。
私のファイルにThawte .pemを追加すると、SSLにどのような影響がありますか?
同じファイルに複数のエントリを配置すると、SSLライブラリはそのエントリを使用して接続を開始できます。特に、1つ以上の証明書が使用されている秘密鍵に対応する証明書で署名されている場合、これらの追加(通常は「中間」)証明書は、信頼できるルートからデータを転送するのに役立つように接続するクライアントに送信されます。信頼チェーンは、クライアントコンピュータにインストールされた証明書とセッションセキュリティに使用する証明書によって設定されます。
このように:
[ Trusted root ] --signed--> [ Intermediate ] --signed--> [ Your Cert ]
クライアントに中間証明書のコピーがない場合は、信頼できるルートと証明書の間にリンクを確立できません。 SSLネゴシエーション中にこれを提供する場合は、コピーを受け取る必要はありません。
答え3
このように結合すると、証明書チェーンが生成されます。このSO Q&Aは、次のようなさまざまなファイルの形式を説明します。Pemファイルとは何ですか?他のOpenSSL生成キーファイル形式とはどう違いますか?。これはおそらく私が見たさまざまなファイル形式の最高の説明です。
抜粋
- .pemRFC 1421〜1424で定義されているのは、公開証明書(ApacheインストールやCA証明書ファイル/ etc / ssl / certsなど)のみを含めるか、公開鍵と秘密鍵とルートを含む完全な証明書チェーンを含むコンテナ形式です。資格。名前は安全な電子メールの失敗した方法であるPrivacy Enhanced Emailに由来しますが、使用されているコンテナ形式は依然として存在します。