CA (证书) <备忘>

实验环境：

192.168.88.150    ca.bloke.com         ca
    192.168.88.163    mail.bloke.com      mail
    192.168.88.12      client.bloke.com    client

实验就以给dovecot颁发证书为例！

1、修改openssl配置文件</etc/pki/tls/openssl.cnf>：

创建必要的文件： index.txt serial

echo 00 > serial

2、在CA服务器上生成私钥：

(umask 077 ; openssl genrsa -out /etc/pki/CA/private/bloke-ca.key -des3 2048)

3、在CA服务器上利用生成的私钥生成公钥：

openssl req -out /etc/pki/CA/bloke-ca.crt -new -key private/bloke-ca.key -x509 -days 365

4、在mail服务器上生成用于dovecot服务的私钥：

(umask 077 ; openssl genrsa -out dovecot.key 2048)

5、在mail服务器上利用dovecot的私钥生成dovecot的证书请求文件：

6、将mail服务器上生成的证书请求文件传给CA服务器，由CA服务器签证：

完成之后，将生成的dovecot.crt证书文件传输给mail服务器

然后mail服务器将dovecot的私钥和证书放置到指定的位置：

/etc/pki/tls/private/dovecot.key

/etc/pki/tls/certs/dovecot.crt

7、配置postfix和dovecot：

修改/etc/postfix/main.cf:

myhostname = mail.bloke.com
    mydomain = bloke.com
    myorigin = $mydomain
    inet_interfaces = all
    inet_protocols = all
    mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain,
      mail.$mydomain, www.$mydomain, ftp.$mydomain

mynetworks = 192.168.88.0/24, 127.0.0.0/8

home_mailbox = Maildir/

mail_spool_directory = /var/spool/mail

8、配置dovecot：

修改 /etc/dovecot/conf.d/10-ssl.conf：

ssl_cert = </etc/pki/tls/certs/dovecot.crt
ssl_key = </etc/pki/tls/private/dovecot.key

修改 /etc/dovecot/conf.d/10-mail.conf：

mail_location = maildir:~/Maildir

9、重启postfix和dovecot服务：

/etc/init.d/postfix restart && /etc/init.d/dovecot restart

10、在mail服务器上建立user1用户

然后在客户端 client.bloke.com 上使用 thunderbird 测试：

在后面的步骤中会出现提示：<因为mail服务器的证书对于client是不可信的>

暂时先取消创建用户，将CA服务器的公钥传给client，导入到client的雷鸟中，再次创建查看效果：

再次创建用户的时候，就不会弹出那个添加例外的框，说明证书已经得到client的信任：

在mail服务器上使用root用户给user1用户发送一份邮件，测试接收：

echo ‘This is first test page from bloke ...‘ | mail -s ‘bloke01‘ [email protected]

最后，测试一下在雷鸟上使用[email protected]用户给139邮箱发邮件：

登陆139邮箱，查看邮件：

好了，实验到此就结束了。。。

时间： 2024-10-09 04:38:07

CA (证书) <备忘>的相关文章

IIS上架设https网站证书处理备忘

1. 免费SSL证书申请 https://www.startssl.com 教程:http://hxs.fd.fj.cn/?action=show&id=13 2. 证书转换申请到的证书有两个关键文件(适用于openssl文本格式), xxx.key & xxx.crt,要在IIS上安装需要转换成pfx格式,转换命令: openssl pkcs12 -export -out server.pfx -inkey xxx.key -in xxx.crt 3. 证书安装在IIS中,打开“服务

（备忘）利用openssl完成自签发证书步骤--精华版

#建立 CA 目录结构mkdir -p ./demoCA/{private,newcerts}touch ./demoCA/index.txtecho 01 > ./demoCA/serial #生成 CA 的 RSA 密钥对openssl genrsa -des3 -out ./demoCA/private/cakey.pem 2048 #生成 CA 证书请求openssl req -new -days 365 -key ./demoCA/private/cakey.pem -out care

（备忘）openssl的证书格式转换

PKCS 全称是Public-KeyCryptography Standards ,是由 RSA 实验室与其它安全系统开发商为促进公钥密码的发展而制订的一系列标准,PKCS 目前共发布过15 个标准. 常用的有:PKCS#7 Cryptographic Message Syntax StandardPKCS#10 Certification Request StandardPKCS#12 Personal Information Exchange Syntax StandardX.509是常见通

RxJava & RxAndroid备忘

"你问我要去向何方,我指着大海的方向" 今天在刷G+的时候看到Dave Smith推荐了一个视频 <Learning RxJava (for Android) by example> 点进去看了一下,原来是位熟悉的"阿三哥",视频封面如下:(没有歧视的意思,不要喷我啊~,为什么感到熟悉?接着往下看) 几乎同时也看到了JetBrains在G+也推荐了篇在Medium上的博文 <RxAndroid And Kotlin (Part 1)> ,然后

工作备忘：cacti&nagios登录密码修改方法

[[email protected]]# mysql -u root -p mysql> use cacti; mysql> select * from user_auth; mysql> update user_auth set password=md5("cactipasswd") where id='1'; 现在cacti登录的新密码就是cactipasswd [[email protected]]# /usr/bin/htpasswd /usr/local/n

备忘-linux文件系统结构

用apache的时候总是要进入/var/www, 用久了开始好奇这些个目录都是派什么用处的,简单整理了一下 /bin 存放二进制命令文件,这个目录下面不允许存在子目录/boot bootloader的静态文件,当然OS的文件也必须在这里/dev 设备文件,MAKEDEV命令可以创建设备/etc 特定主机的配置文件,必须是静态文件,非可执行文件: opt, X11, sgml, xml/home 用户目录 /lib 存放主要的共享库和核心模块/media 可移除媒体的挂载点: floppy, cd

[转]Windows环境下尝试安装并配置PHP PEAR备忘

转自:http://wangye.org/blog/archives/266/ 什么是PEAR 来自百度百科:PEAR 是PHP扩展与应用库(the PHP Extension and Application Repository)的缩写.它是一个PHP扩展及应用的一个代码仓库,简单地说,PEAR之于PHP就像是CPAN(Comprehensive Perl Archive Network)之于Perl. 由此可见PEAR是PHP代码的仓库,在这里可以找到很多有用的代码,避免我们重复写一些功能,

Table view 备忘

Table view 备忘本篇会以备忘为主,主要是一些基础的代理方法和数据源方法具体的优化好点子会后续跟上. Table view的数据源方法必须实现的数据源方法 // 返回每一行的cell,可以做缓存处理,同样也可能会造成复用问题. func tableView(tableView: UITableView, cellForRowAtIndexPath indexPath: NSIndexPath) -> UITableViewCell { // tableview 和 cell 都是在s

oracle下启动subversion命令及 oracle相关服务启动备忘

linux shell下 svnserve - d -r + 目录例如:svnserve -d -r /svn 启动 svn服务. 访问svn://192.168.0.120/kjcg 测试. 启动oracle: 一.如何启动数据库实例 1.进入到sqlplus启动实例 [[email protected] ~]$ su - oracle --“切换到oracle用户” 2. Password: [[email protected] ~]$ lsnrctl start --“打开监听”