質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
Dovecot

Dovecotとは、POPやIMAPサーバーを提供するMDA(メール配送エージェント)の一つです。

OpenSSL

OpenSSLはSSL/TLSのプロトコルと一般的な暗号のライブラリを導入するオープンソースのソフトウェアのツールキットです。

Postfix

Postfixは、電子メールサーバソフトウェアで、 メールを配送するシステムMTAの一種です。

Q&A

1回答

5879閲覧

Postfix,Dovecotのクライアント証明書による認証について教えて下さい。

izayoi136

総合スコア17

Dovecot

Dovecotとは、POPやIMAPサーバーを提供するMDA(メール配送エージェント)の一つです。

OpenSSL

OpenSSLはSSL/TLSのプロトコルと一般的な暗号のライブラリを導入するオープンソースのソフトウェアのツールキットです。

Postfix

Postfixは、電子メールサーバソフトウェアで、 メールを配送するシステムMTAの一種です。

0グッド

0クリップ

投稿2016/09/23 05:11

編集2022/01/12 10:55

###前提・実現したいこと
Postfix+Dovecot+MySQL+TSLの構成でクライアント証明書ベースでのDovecotのログイン認証を行いたいと考えております。クライアント証明書がないとDovecotメールサーバにログインさせないというようにしたいです。
メールサーバのクライアント証明書に対応しているCAやクライアント証明書の作り方を教えて下さい。

//Postfix+Dovecot+MySQLでのTLSログインは出来ております。
//Apacheのクライアント認証は俺俺証明書ですら出来てしまいますが、メールサーバのクライアント認証は難しく出来ておりません。

###発生している問題・エラーメッセージ

CA,サーバー証明書、中間証明書、クライアント証明書に少しでも不備があるとメールサーバのクライアント認証には失敗してしまうようです。

Thunderbirdのメッセージ

1Client didn't present valid SSL certificate

http://www.dovecot.org/list/dovecot/2011-June/059655.html
状況として上記とほぼ同じ状態です。

イメージ説明

http://www.checktls.com/index.html
上記サイトでのTLSチェックは行っております。

###試したこと

下記参考サイトによるクライアント証明書は試しました。
Apacheのクライアント証明書ベースでの認証は出来ますが、メールサーバだと厳しいようです。

Postfix TLS サポート
http://www.postfix-jp.info/trans-2.2/jhtml/TLS_README.html

プライベート認証局の証明書、サーバー証明書、クライアント証明書の作成方法について
http://server-setting.info/centos/private-ca-cert.html

Postfixの証明書認証アレコレ
http://qiita.com/jem_3/items/23199dfcb8c1f8b2a3be

SSLサーバ証明書FAQ:ウェブサーバ以外の証明書設定方法
https://jp.globalsign.com/support/ssl/list.php?cat=ftp

http://safe-linux.homeip.net/mail/linux-ssl_smtp-05.html

opensslでオレオレ認証局を開局して証明書を発行する
https://hgotoh.jp/wiki/doku.php/documents/other/other-045

SSLサーバ証明書FAQ:ウェブサーバ以外の証明書設定方法
https://jp.globalsign.com/support/ssl/list.php?cat=ftp

http://safe-linux.homeip.net/mail/linux-ssl_smtp-05.html

Postfix TLS認証(証明書ベースの認証)
http://www.cory.jp/98/postfix.html

SSLクライアント証明書でユーザ認証 (nginx)
http://www.nslabs.jp/pki-client-certification-with-nginx.rhtml

Certificate-based auth with Dovecot + sendmail
http://strange.systems/certificate-based-auth-with-dovecot-sendmail/

クライアント証明書申請、インストール方法
http://www.iimc.kyoto-u.ac.jp/services/cert/client_cert/client%20certificate%20manual_20160609.pd

https://gato.intaa.net/freebsd/memo/postfix_ssl
http://www.checktls.com/index.html

###補足情報(言語/FW/ツール等のバージョンなど)

○Dovecot設定

# vi /etc/dovecot/conf.d/10-ssl.conf ssl_cert = </etc/mail/certs/cert.pem ssl_key = </etc/mail/certs/privkey.pem ssl_ca = </var/ssl/CA/cacert.pem ##クライアント証明書 ログイン時に認証強制 ssl_verify_client_cert = yes auth_ssl_require_client_cert=yes # service dovecot restart

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答1

0

CentOS 7, dovecot-2.2.10 に含まれる /etc/dovecot/conf.d/10-ssl.conf ファイルの ssl_ca 箇所の説明に以下の記述があります。

The file should contain the CA certificate(s) followed by the matching CRL(s).

CA証明書+CRL とする必要があります。

subject= ... issuer= ... -----BEGIN CERTIFICATE----- (CA証明書) -----END CERTIFICATE----- -----BEGIN X509 CRL----- (上記CAのCRL) -----END X509 CRL-----

投稿2016/09/23 12:41

TaichiYanagiya

総合スコア12141

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

izayoi136

2016/09/24 07:17

TaichiYanagiya様 有難う御座います! 上記の方法でCRLのエラーは緩和されました。 他のエラーの対応を行っており質問させて頂きたいと思いますので、まだこのスレッドは継続させて頂きます。
TaichiYanagiya

2016/09/25 14:53

> Client didn't present valid SSL certificate クライアント証明書の issuer と CA証明書が合っていないのか、あるいは、中間証明書が p12 に入っていないのだと思います。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

まだベストアンサーが選ばれていません

会員登録して回答してみよう

アカウントをお持ちの方は

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問