SSL
無料で証明書作ってくれるところ。
Welcome to CAcert.org
http://www.digion.com/enterprise/ ←9/23現在、停止中。
DigiOnの方はどうかわからないけど、CAcertの方は、ルート証明書を自分でブラウザなどにインストールする必要あり。
それって、自分でCAをたてるのとどう違うのだろうか…。
POP over SSL
目的はPOP over SSLすることだけだったので、それを達成するのは割と簡単(dovecotならmkcert.shを使えば自己署名証明書を作ってくれる)。
なのだが、この方法だと独自CAのCA証明書が作成されないので、Windowsとかにインポートできず、サーバー証明書の検証ができなくなる。
あれ、でも結局自分で自分に署名してるのは変わらないよな。もしかして独自CAを作成しない場合でも、自己署名証明書をWindowsにルート証明書として登録してしまえばいいのだろうか…??
検索してでてくるページはだいたい簡単な方法で自己署名証明書だけ作っているところが多いみたい。腐るほどたくさんヒットするのでここで自分の記録を書くことはしないけど、気をつけることは
- 独自CAを作ってCA証明書が作成されるようにすること
- サーバーの秘密鍵はDES暗号化を解除しておくこと
ですかね。
まとまってると感じたページは
http://www.messagen.ne.jp/lab/bsd/openssl.html ←「CAの秘密鍵」「CAの証明書」「サーバの秘密鍵」「サーバ証明書」をはっきり分けて書いているのがよい。
http://mars.elcom.nitech.ac.jp/security/ ←SSL全般の仕組みの解説はこのあたりがわかりやすいかな。
SSLによる安全なWebサイト作り (2/2):ApacheによるWebサーバ構築(12) - @IT ←@ITにもたくさんSSL関連のページがあるけど、OpenSSLの操作手順を書いてあるのはこれくらいだった気がする。
SSL/TLS の導入 (1) ←68userさんとこ。さすが、仕組みもわかって書いているな、という雰囲気。