こちらの文献を参考にさせていただき、Stunnel+SSLで
SMTP over SSLを構築する事ができました。ありがとうございます。
質問があるのですが、1つのWindowsサーバーで2つ以上のドメインと
それに対応するグローバルアドレスを扱っている場合は
CAの場合はこちらの例で使われているc:\etc以外にc:\etc2のような
ディレクトリを作成しておける気がするのですが、Stunnelで
作成した証明書をインポートする場合はどのように指定すれば宜しいでしょうか?
> 質問があるのですが、1つのWindowsサーバーで2つ以上のドメインと
> それに対応するグローバルアドレスを扱っている場合は
> CAの場合はこちらの例で使われているc:\etc以外にc:\etc2のような
> ディレクトリを作成しておける気がするのですが、Stunnelで
> 作成した証明書をインポートする場合はどのように指定すれば宜しいでしょうか?
3回ほど読み直したのですが、ご質問の趣旨が今一理解できません。
「CAの場合はこちらの例で使われているc:\etc以外にc:\etc2のようなディレクトリを作成しておける気がするのですが」とありますが、ドメインが何個あろうとそれらドメインを証明するCAは1つでいいので複数必要はありません。ここは勘違いされている?
次は、「Stunnelで作成した証明書をインポートする場合」というのは、何にインポートするという意味ですか? Apacheにですか?
想定ですが、ApacheではIPベースのバーチャルホストを動かして2個の証明書、メール(stunnel)が1個でどうすればいいかがわからないのではないですが?
もしそうなら、CAは1個で良いのでそれぞれのサーバ証明書を作成すればよいだけですが・・・。
> 「CAの場合はこちらの例で使われているc:\etc以外にc:\etc2のようなディレクトリを作成しておける気がするのですが」とありますが、ドメインが何個あろうとそれらドメインを証明するCAは1つでいいので複数必要はありません。ここは勘違いされている?
すみません、ここ勘違いしていました;
> 次は、「Stunnelで作成した証明書をインポートする場合」というのは、何にインポートするという意味ですか? Apacheにですか?
> 想定ですが、ApacheではIPベースのバーチャルホストを動かして2個の証明書、メール(stunnel)が1個でどうすればいいかがわからないのではないですが?
> もしそうなら、CAは1個で良いのでそれぞれのサーバ証明書を作成すればよいだけですが・・・。
ここも勘違いしていました;
説明下手ですみませんでした。
1つのSMTPデーモンで2つのドメインを[例aaa.comとbbb.com]を扱っています。
まず最初にこちらの文献を元にaaa.comを先に済ませようと作業し
CAの作業ディレクトリでaaa.comのサーバー証明書を作成し
Stunnelの参照先をこのaaa.comのサーバー証明書にしました。
そしてaaa.comのクライアントにaaa.comのクライアント側p12を
インポートさせ、動作確認は正常である事を確認しています。
この状態でaaa.comのサーバー証明書を作成したCAで
引き続きbbb.comのサーバー証明書(pemとcrtとP12)を作成したとして
このP12をbbb.comのクライアントにインポートさせただけでは
機能しませんでしたので、bbb.comのpemとcrtをどのように扱えば
問題なく動作をするのか、大変恐縮ですがご質問させていただいた次第でございます。
よろしくお願い致します。
> 1つのSMTPデーモンで2つのドメインを[例aaa.comとbbb.com]を扱っています。
>
> まず最初にこちらの文献を元にaaa.comを先に済ませようと作業し
> CAの作業ディレクトリでaaa.comのサーバー証明書を作成し
> Stunnelの参照先をこのaaa.comのサーバー証明書にしました。
>
> そしてaaa.comのクライアントにaaa.comのクライアント側p12を
> インポートさせ、動作確認は正常である事を確認しています。
>
> この状態でaaa.comのサーバー証明書を作成したCAで
> 引き続きbbb.comのサーバー証明書(pemとcrtとP12)を作成したとして
> このP12をbbb.comのクライアントにインポートさせただけでは
> 機能しませんでしたので、bbb.comのpemとcrtをどのように扱えば
> 問題なく動作をするのか、大変恐縮ですがご質問させていただいた次第でございます。
「 1つのSMTPデーモンで2つのドメインを[例aaa.comとbbb.com]を扱っています。」というくだりが、具体的にどうなのかが重要です。サーバが1台でIPも一個で単にバーチャルドメインを動かしているなら、証明書はホスト名対応に必要なのでドメインが何個あろうと1個の証明書で大丈夫です。
実際に2つのホスト名(2つのIP)で動作させているなら、下記(POP3Sの例)でできると思います。
[pop3s-1]
accept = mail.aaa.com:995
connect = mail.aaa.com:110
cert = c:/certs/server.crt
key = c:/certs/server.key
[pop3s-2]
accept = mail.bbb.com:995
connect = mail.bbb.com:110
cert = c:/certs/server2.crt
key = c:/certs/server2.key
ありがとうございます。
早速試して再度ご報告させていただきます。