質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

88.09%

DovecotとPostfixをSSL通信したい

解決済

回答 2

投稿 編集

  • 評価
  • クリップ 0
  • VIEW 2,550

score 50

 問題になっていること

SSL通信を行いたいのに、接続ができない。

 設定内容

  • main.cf (postfix)
smtpd_sasl_auth_enable = yes
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_security_options = noanonymous
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
smtpd_tls_protocols = !SSLv3, !SSLv3
smtp_tls_mandatory_protocols = !SSLv2, !SSLv3
smtp_tls_protocols = !SSLv2, !SSLv3
smtpd_tls_security_level = may

#smtpd_use_tls = yes
smtpd_tls_cert_file = #SSL証明書の絶対リンク
smtpd_tls_key_file = #SSL鍵の絶対リンク
  • master.cf (postfix)
smtp      inet  n       -       -       -       -       smtpd
#smtp      inet  n       -       -       -       1       postscreen
#smtpd     pass  -       -       -       -       -       smtpd
#dnsblog   unix  -       -       -       -       0       dnsblog
#tlsproxy  unix  -       -       -       -       0       tlsproxy
submission inet n       -       -       -       -       smtpd
  -o syslog_name=postfix/submission
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
#  -o smtpd_reject_unlisted_recipient=no
#  -o smtpd_client_restrictions=$mua_client_restrictions
#  -o smtpd_helo_restrictions=$mua_helo_restrictions
#  -o smtpd_sender_restrictions=$mua_sender_restrictions
#  -o smtpd_recipient_restrictions=
  -o smtpd_relay_restrictions=permit_sasl_authenticated,reject
#  -o milter_macro_daemon_name=ORIGINATING
smtps     inet  n       -       -       -       -       smtpd
#  -o syslog_name=postfix/smtps
  -o smtpd_tls_wrappermode=yes
#  -o smtpd_sasl_auth_enable=yes
#  -o smtpd_reject_unlisted_recipient=no
#  -o smtpd_client_restrictions=$mua_client_restrictions
#  -o smtpd_sender_restrictions=$mua_sender_restrictions
#  -o smtpd_recipient_restrictions=
#  -o smtpd_relay_restrictions=permit_sasl_authenticated,reject
#  -o milter_macro_daemon_name=ORIGINATING

 補足

ポート開放については問題ありません。
ちなみに通常接続は利用可能です。
設定については以下の内容を参考にしています。
OSはUbuntu 14.04を利用しています。

ログの掲載のリクエストがありましたので掲載します。
ログの一部(imapの通常接続):

Dec  7 14:24:53 [サーバーホスト名] dovecot: config: Warning: NOTE: You can get a new clean config file with: doveconf -n > dovecot-new.conf
Dec  7 14:24:53 [サーバーホスト名] dovecot: config: Warning: Obsolete setting in /etc/dovecot/dovecot.conf:104: protocol { ssl_listen } has been replaced by service { inet_listener { address } }
Dec  7 14:24:53 [サーバーホスト名] dovecot: imap-login: Disconnected (no auth attempts in 0 secs): user=<>, rip=[ipアドレス], lip=[ipアドレス], secured, session=<u8mYvQpD9gA7nQQU>
Dec  7 14:24:53 [サーバーホスト名] postfix/smtpd[31432]: warning: cannot get RSA private key from file [SSL秘密鍵の絶対パス]: disabling TLS support
Dec  7 14:24:53 [サーバーホスト名] postfix/smtpd[31432]: warning: TLS library problem: error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch:x509_cmp.c:330:
Dec  7 14:24:53 [サーバーホスト名] postfix/smtpd[31432]: connect from [ホスト名(FQDN)][[ipアドレス]]
Dec  7 14:24:53 [サーバーホスト名] postfix/smtpd[31432]: lost connection after EHLO from [ホスト名(FQDN)][[ipアドレス]]
Dec  7 14:24:53 [サーバーホスト名] postfix/smtpd[31432]: disconnect from [ホスト名(FQDN)][[ipアドレス]]


ログの一部(imapのSSL/TLS接続):

Dec  7 14:30:37 [サーバーホスト名] postfix/smtpd[31458]: warning: cannot get RSA private key from file [SSL秘密鍵の絶対パス]: disabling TLS support
Dec  7 14:30:37 [サーバーホスト名] postfix/smtpd[31458]: warning: TLS library problem: error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch:x509_cmp.c:330:
Dec  7 14:30:37 [サーバーホスト名] postfix/smtpd[31458]: connect from [ホスト名(FQDN)][[ipアドレス]]
Dec  7 14:30:37 [サーバーホスト名] postfix/smtpd[31458]: lost connection after EHLO from [ホスト名(FQDN)][[ipアドレス]]
Dec  7 14:30:37 [サーバーホスト名] postfix/smtpd[31458]: disconnect from [ホスト名(FQDN)][[ipアドレス]]
  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 過去に投稿した質問と同じ内容の質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

質問への追記・修正、ベストアンサー選択の依頼

  • YuzuRyo61

    2016/12/07 14:36

    >>> ikedasさん & CHERRYさん 追加編集しましたのでよろしくお願いします。

    キャンセル

  • ikedas

    2016/12/07 14:50

    たびたびすみません。あと、証明書は自己署名の証明書でしょうか、公的な認証局から発行されたものでしょうか、その他 (自分で認証局を立てて証明書を発行した、等) でしょうか。

    キャンセル

  • YuzuRyo61

    2016/12/07 19:52

    >>> ikedasさん 自己署名の証明書ではありません。公的な認証局から発行いたしました。

    キャンセル

回答 2

checkベストアンサー

0

ログに key values mismatch と出力されていますので、smtpd_tls_key_file で設定した秘密鍵と smtpd_tls_cert_file で設定した証明書がペアになっていないのだと思います。 

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/12/07 20:20

    ありがとうございます。解決しました。原因は内容の通りSSLが一致していないのが原因でした。
    キーの移動時に間違った証明書をコピーしたのが原因かもしれません。

    キャンセル

0

PostfixのTLS_READMEによると

リモートSMTPクライアントがPostfix SMTPサーバ証明書をチェックするには、 CA証明書 (証明書チェーンの場合はすべてのCA証明書) が入手可能でなければ いけません。これらの証明書をサーバ証明書に加えるとよいでしょう。その場合は サーバ証明書を最初にして、それから発行CAのものとします。

ということなので、smtpd_tls_cert_fileで指定するファイルには、サーバ証明書、(あれば) 中間証明書、CA証明書を、この順番に連続して入れておかなければいけないようです。各々の証明書はPEM形式のテキストデータです。

おそらく、ファイルの最初にサーバ証明書以外のものがあるので、秘密鍵と一致せず、TLSが有効にならないのでしょう。

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 88.09%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

同じタグがついた質問を見る