O – название организации, CN – название сервера. Должно совпадать с именем хоста. Такой сертификат будет действителен 1 год с момента создания (параметр -days). Файл dovecot.pem нужно положить в директорию /etc/pki/dovecot/certs, а файл dovecot-key.pem – в директорию /etc/pki/dovecot/private, предварительно переименовав его в dovecot.pem или изменив параметр ssl_key_file в конфигурационном файле /etc/dovecot.conf, чтобы привести его в соответствие реальному имени файла с ключём.

Для того, чтобы экспортировать данный сертификат в формат PKCS#12, который используется многими приложениями от Microsoft, используется следующая команда:

В данном случае она запускалась из директории /etc/pki/dovecot/certs.

Затем полученный сертификат в файле dovecot.pfx можно импортировать в храниилище доверенных сертификатов того приложения, которое работает с нашим почтовым сервером. Например, в Outlook Express 6 это делатеся так:

меню «Сервис» → «Параметры…» → вкладка «Безопасность» → кнопка «Сертификаты…» → вкладка «Доверенные корневые центры сертификации» → кнопка «Импорт…», выбрать найл dovecot.pfx, в окне запроса пароля поля оставить пустыми, далее везде согласиться со значениями по-умолчанию. Данная процедура избавляет от появления предупреждающего сообщения с текстом «Используемый сервер имеет сертификат безопасности, который невозможно проверить» при каждом новом сеансе связи с почтовым сервером:

Обратная операция (преобразование pfx в pem):

или

Во втором случае случае будет запрошен пароль для приватного ключа.

Для проверки конфигурации можно заставить openssl выступить в роли почтового клиента следующим образом:

и потом использовать команды протокола POP3 для дальнейшего диалога с сервером.

Похожие заметки:

1. Штучки с sed-ом sed – это stream editor. Часто используется в скриптах для различных преобразований текста. Ниже приведено несколько типичных примеров. Удаление из...