[eside-ghost] Problema con certificado para POP3S

[Jon Urionaguena]

Fernando Urien escribió:
> Ummmsss, 
> 
> Y la clave privada???
> Jo, a mi me dio guerra algo de esto con courier-imap porque el
> certificado había que exportarlo de una forma especial (¿puede ser o lo
> he soñado?)
> El rollo era que el certificado exportado incluye la clave privada.
> 
> Mira a ver si puede ser algo de eso!!
> 
> Zefe
> 
> 
>> Hola a tod en s!
>>
>> Aquí ando montando un servidor POP3S y quería crear un certificado
> como dios
>> manda con openssl.
>>
>> Si genero un certificado con el comando mkpop3dcert poniendo los
> parámetros
>> para mi servidor en pop3d.cnf, todo funciona perfectamente. Me conecto con
>> mi cliente de correo y al visualizar el certificado aparecen bien los
>> parámetros. Pero haciendo un man de mkpop3dcert pone que esta utilidad es
>> sólo para certificados de test (cosa que no me da mucha confianza). Además
>> no lo firma ninguna CA.
>>
>> Sin embargo, si me creo una CA, genero un certificado, lo firmo y luego
>> modifico el fichero pop3d-ssl para que me coja el certificado nuevo que he
>> creado modificando la línea:
>>
>> *TLS CERTFILE=/etc/courier/pop3d.pem*
>> Entonces no me hace ni caso. Arranco mi cliente de correo y no me
> muestra el
>> certificado.
>>
>> ¿A alguien le suena lo que puede ser?
>>
>> -- 
>> ----------------------------------
>> Loretahur a.k.a. Lorena
>> www.loretahur.tk
>>
> 
> 
> _______________________________________________
> eside-ghost mailing list
> eside-ghost en deusto.es
> https://listas.deusto.es/mailman/listinfo/eside-ghost
> 

Yo de Courier ni idea... pero a ver si con OpenSSL se puede ayudar.

El certificado del que hablas será el que presenta tu servidor a los
clientes, no? Como dice Zefe, el servidor tiene que tener la
correspondiente clave privada para poder realizar el "túnel" SSL.

Me imagino que si tú has generado los certs y claves privadas, para este
servidor dispondrás de tres archivos (IMPORTANTE)... el cert, la clave
privada y el cert de la CA que has creado, ¿no?

En la documentación de Courier tienen que especificar que es lo que
espera encontrar Courier en ese archivo ¿Ese archivo pop3d.pem, es sólo
la parte pública?, ¿o sólo la parte privada? ¿O las dos? Haz un cat
/etc/courier/pop3d.pem y en la cabecera te dirá qué tipo de archivo es...

Quizá te falte una directiva de configuración que sea tal que (no lo sé,
estoy inventando):

TLS KEYFILE=/etc/courier/pop3dkey.pem (archivo de solo lectura para
usuario courier...;-))

Y otra que sea:

TLS_CAFILE=/etc/courier/cacert.pem

Pero hazte a la idea de que Courier necesita conocer esos tres archivos
para poder hablar SSL con los clientes...

Otra manera es que courier use un formato de archivo que contenga en el
mismo sitio la clave privada y la publica, pero habrá de saber con que
CAs trabaja...

A ver si te sirve de algo...

Saludos,
-- 

Jon