StartSSL では1年間の SSL 証明書を無料で取得することができる.
取得までの手順の概要を説明する.
- 秘密鍵の作成
openssl genrsa -aes256 4096 >key.pem
- リクエストの作成
openssl req -new -key key.pem -out request.csr
- リクエストの送信 (BEGIN, END の行も含めて送る.)
- 証明書の受信; ウェブインターフェイスに表示される証明書を
certificate.pem
として保存する.
- 証明書や中間CA証明書, CA証明書を取得し, 1つのファイルに結合.
wget https://www.startssl.com/certs/sub.class1.server.ca.pem
wget https://www.startssl.com/certs/ca.pem
cat certificate.pem sub.class1.server.ca.pem ca.pem >all.pem
- (おまけ) 秘密鍵のパスフレーズの解除
openssl rsa -in key.pem -out keywop.pem
なお, 秘密鍵のパスフレーズをなしにすると, サービスの起動時に毎回パスフレーズを入れなくて良いのでメンテナンスが楽だが, 他人がファイルを奪うことでなりすまされるリスクが生じる.
Dovecotへの設定
RHEL 6 (CentOS 6 も) に付属の dovecot での設定方法を示す.
- ファイルを dovecot の設定ファイルを置くパスへコピー. 他人にファイルを見られないようにするため, 400 に設定する. なお, 所有者は root でよい. (all.pem は 400 にする必要はない)
cp all.pem /etc/pki/dovecot/certs/
cp keywop.pem /etc/pki/dovecot/private/
chmod 400 /etc/pki/dovecot/certs/all.pem
chmod 400 /etc/pki/dovecot/private/keywop.pem
- dovecot の設定ファイルを更新;
/etc/dovecot/conf.d/10-ssl.conf
に以下の記述を行う.
ssl_cert =</etc/pki/dovecot/certs/20121204-kmbk.kamae.org.pem
ssl_key =</etc/pki/dovecot/private/20121204-kmbk.kamae.org.pem
参考
Apache + OpenSSL CSR生成手順