2009年3月 7日

[postfix-jp: 3365] Re:ドメイン名移行とTLS

加藤泰文です.

>>> On Sat, 7 Mar 2009 13:28:35 +0900
in message "[postfix-jp: 3364] ドメイン名移行とTLS"
iNOUE Koich!-san wrote:

> 本学では東京都市大への名称変更に伴い,ドメイン名も変更するこ
> とになるのですが,これとpostfixのTLSとの関連がよ

> くわかりません。旧ドメイン/新ドメインどちらの名前もサーバと
> して利用可能にしたいのですが,何も変更しない場合,接続時に
> サーバの証明書が違うとウォーニングが出てしまいます。ウォーニ
> ングを無視して使えるのですが,あまり気味がよくありません。こ
> のような場合,main.cfにはどのような記述をするべきなので
> しょうか。

クライアント (MUA) がサーバに接続するときの TLS のお話ですか? つまり
MUA にメール送信するときは暗号化する,みたいなオプションを有効にしてサー
バに接続した時のお話? (SMTP over TLS とか STARTTLS とか)

で,MUA 側で接続しているサーバのホスト名と証明書のホスト名(CN)が違うと
怒られる,ということですかね? 例えば smtp.example1.jp というサーバに接
続しようとしているのに smtp.example2.jp という名前のサーバ用の証明書が
帰ってくるので,警告がでる,と.

# という質問なのであれば,(サーバ管理者であれば) もう少し SSL/TLS の仕
# 組みをご理解になる必要があるかと思います.

だとしたら,この「ウォーニング」は
 ・クライアントがサーバの証明書を検証しようとして出している
わけですから,postfix の設定でどうなるものでもありません.サーバから送
られてきた証明書の中身を見て,接続しようとしているサーバと名前が違うの
で,警告を出しているのでしょう.

そして,サーバには普通は一つの証明書しか設定出来ませんから,同一サーバ
で運用する限りは,
 (1) どちらかのホスト名でアクセスする事に決めて,そのホスト名に合わせ
  た証明書を発行し,設定する.
(2) 複数のホスト名で検証が通る証明書を発行する(してもらう)
のどちらかになると思います.
(3) サーバを分けてしまう (or 同一物理サーバでも IP Address ごとに
postfix を起動とか)
ってのもありかも知れませんが.

(2) となると
 (a) ワイルドカード証明書
 (b) subjectAltName
になるかと思います.ただ,今回の場合,ドメイン名が変更になるということ
なので,例えば smtp.example1.ac.jp と smtp.example2.ac.jp の両方のホス
ト名で使えるワイルドカード証明書となると "*.ac.jp" というになるので,
あまりこういうのはよろしくないような気がしますね.とすると,CN にはど
ちらかの名前を設定して,subjectAltName に二つ,ホスト名を設定すればよ
ろしいかと.

この postfix に設定している証明書は購入されたものでしょうか? それとも,い
わゆる「オレオレ証明書」(自組織のプライベート認証局で署名したもの)? オ
レオレであれば,CN やら subjectAltName やら自由に(?) 設定可能ですね.

--
==============================================
(((( 加藤泰文
○-○ karma @ jazz.email.ne.jp
==============================================
(Web Page) http://www.ne.jp/asahi/ka/to/
==============================================
IP Address で接続させて,証明書の CN も IP Address ってあり? :-p

_______________________________________________
Postfix-jp-list mailing list
Postfix-jp-list@xxxxx
http://lists.sourceforge.jp/mailman/listinfo/postfix-jp-list


投稿者 xml-rpc : 2009年3月 7日 15:47
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/82980
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。