URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 33112
[ Назад ]

Исходное сообщение
"SSL"
Отправлено yoprst , 05-Авг-03 12:39

Извиняйте за может быть тривиальный вопрос .
нужно сделать защищеную почту . поп3,имап,смтп. возможно еще коечто надо будет защитить. что ставить ? слышал есть такое изобретение как ssl.
это то что надо ?

Содержание

SSL,lavr, 12:50 , 05-Авг-03
- SSL,yoprst, 13:17 , 05-Авг-03
  - SSL,Алексей, 15:37 , 05-Авг-03
    - SSL,yoprst, 19:37 , 05-Авг-03
      - SSL,lavr, 20:26 , 05-Авг-03
      - SSL,Алексей, 09:04 , 06-Авг-03

Сообщения в этом обсуждении

"SSL"
Отправлено lavr , 05-Авг-03 12:50

>Извиняйте за может быть тривиальный вопрос .
>нужно сделать защищеную почту . поп3,имап,смтп. возможно еще коечто надо будет защитить.
>что ставить ? слышал есть такое изобретение как ssl.
>это то что надо ?
то что надо
http://www.opennet.me/openforum/vsluhforumID1/10197.html

"SSL"
Отправлено yoprst , 05-Авг-03 13:17

>>Извиняйте за может быть тривиальный вопрос .
>>нужно сделать защищеную почту . поп3,имап,смтп. возможно еще коечто надо будет защитить.
>>что ставить ? слышал есть такое изобретение как ssl.
>>это то что надо ?
>
>то что надо
>
>http://www.opennet.me/openforum/vsluhforumID1/10197.html

так.
я делаю поп3 и имап через стунель.
какие поп3 и имап сервера лучше взять ?
пароли я так понял тоже шифруются?
а что такое сертификаты и н.. они нужны ?

"SSL"
Отправлено Алексей , 05-Авг-03 15:37

>я делаю поп3 и имап через стунель.
>какие поп3 и имап сервера лучше взять ?
>пароли я так понял тоже шифруются?
>а что такое сертификаты и н.. они нужны ?
Не надо стюнел. Нормальные поп и имап, равно как и смтп, сервера,
если их собрать с openssl имет поддержку openssl(например courier-imap
поддержка ssl как на pop3 так и на imap).
Соотвествено берешь нужный сервер, компилишь его с openssl, естествено,
что openssl уже должен быть :)
Потом генеришь ключ CA. Затем генеришь запросы на сертификат для сервера.
Затем этот запрос подписываешь CA. Получаешь сертификат сервера.
Прописываешь путь к нему в конфигах сервера, и в целом все.
Если не понимаешь про то, как устроена система с сертификатами и как
работать с OpenSSL, то за этим в доку к нему. Или ставишь, какой-нибудь
tinyca(хотя и он не вовсем новичку разобраться поможет, но базовые
операции станут ясны).
Да! Если ты все таки сгенеришь сертификат CA самостоятельно, а не примешь
вариант получать свой сертификат у, например, VerySign-а или RBC, или еше
кого, то тебе придеться раздать всем пользователям своих сервисов свой
CA-сертификат, иначе пользуны будут считать сертификат сервисов
плохим и ничего не выдет. Так как клиент получив сертификат сервера
во время хандшейка обязательно должен проверить, кто выдал этот
сертификат, и есть ли этот человек(организация)--сертифика в списке
доверенных сертификатов. Так же еще они будут проверять комон-нейм
в этом сертификате и при не совадении того, что прописано в сертификате
и того, куда обращается клиент --- страшно ругаться.

Кажется так.

"SSL"
Отправлено yoprst , 05-Авг-03 19:37

>>я делаю поп3 и имап через стунель.
>>какие поп3 и имап сервера лучше взять ?
>>пароли я так понял тоже шифруются?
>>а что такое сертификаты и н.. они нужны ?
>Не надо стюнел. Нормальные поп и имап, равно как и смтп, сервера,
>
>если их собрать с openssl имет поддержку openssl(например courier-imap
>поддержка ssl как на pop3 так и на imap).
>Соотвествено берешь нужный сервер, компилишь его с openssl, естествено,
>что openssl уже должен быть :)
>
>Потом генеришь ключ CA. Затем генеришь запросы на сертификат для сервера.
>Затем этот запрос подписываешь CA. Получаешь сертификат сервера.
>Прописываешь путь к нему в конфигах сервера, и в целом все.
>
>Если не понимаешь про то, как устроена система с сертификатами и как
>
>работать с OpenSSL, то за этим в доку к нему. Или ставишь,
>какой-нибудь
>tinyca(хотя и он не вовсем новичку разобраться поможет, но базовые
>операции станут ясны).
>
>Да! Если ты все таки сгенеришь сертификат CA самостоятельно, а не примешь
>
>вариант получать свой сертификат у, например, VerySign-а или RBC, или еше
>кого, то тебе придеться раздать всем пользователям своих сервисов свой
>CA-сертификат, иначе пользуны будут считать сертификат сервисов
>плохим и ничего не выдет. Так как клиент получив сертификат сервера
>во время хандшейка обязательно должен проверить, кто выдал этот
>сертификат, и есть ли этот человек(организация)--сертифика в списке
>доверенных сертификатов. Так же еще они будут проверять комон-нейм
>в этом сертификате и при не совадении того, что прописано в сертификате
>
>и того, куда обращается клиент --- страшно ругаться.
>
>
>Кажется так.
спасибо, спасибо. за расширенный ответ :)
тут еще оказывается что sendmail + courier-imap работать не будут.
надо или сендмаилу mail.local заменять (непонятно как). или ставить другой имап-поп3 сервер. что же все-таки выбрать, какая связка наиболее удачна и надежна . и естсвенно чтоб c ssl. ???

"SSL"
Отправлено lavr , 05-Авг-03 20:26

>>>я делаю поп3 и имап через стунель.
>>>какие поп3 и имап сервера лучше взять ?
>>>пароли я так понял тоже шифруются?
>>>а что такое сертификаты и н.. они нужны ?
>>Не надо стюнел. Нормальные поп и имап, равно как и смтп, сервера,
>>
>>если их собрать с openssl имет поддержку openssl(например courier-imap
>>поддержка ssl как на pop3 так и на imap).
>>Соотвествено берешь нужный сервер, компилишь его с openssl, естествено,
>>что openssl уже должен быть :)
>>
>>Потом генеришь ключ CA. Затем генеришь запросы на сертификат для сервера.
>>Затем этот запрос подписываешь CA. Получаешь сертификат сервера.
>>Прописываешь путь к нему в конфигах сервера, и в целом все.
>>
>>Если не понимаешь про то, как устроена система с сертификатами и как
>>
>>работать с OpenSSL, то за этим в доку к нему. Или ставишь,
>>какой-нибудь
>>tinyca(хотя и он не вовсем новичку разобраться поможет, но базовые
>>операции станут ясны).
>>
>>Да! Если ты все таки сгенеришь сертификат CA самостоятельно, а не примешь
>>
>>вариант получать свой сертификат у, например, VerySign-а или RBC, или еше
>>кого, то тебе придеться раздать всем пользователям своих сервисов свой
>>CA-сертификат, иначе пользуны будут считать сертификат сервисов
>>плохим и ничего не выдет. Так как клиент получив сертификат сервера
>>во время хандшейка обязательно должен проверить, кто выдал этот
>>сертификат, и есть ли этот человек(организация)--сертифика в списке
>>доверенных сертификатов. Так же еще они будут проверять комон-нейм
>>в этом сертификате и при не совадении того, что прописано в сертификате
>>
>>и того, куда обращается клиент --- страшно ругаться.
>>
>>
>>Кажется так.
>
>спасибо, спасибо. за расширенный ответ :)
>тут еще оказывается что sendmail + courier-imap работать не будут.
>надо или сендмаилу mail.local заменять (непонятно как). или ставить другой имап-поп3 сервер.
>что же все-таки выбрать, какая связка наиболее удачна и надежна .
>и естсвенно чтоб c ssl. ???
>
если использование формата MAILDIR:
qmail+courier-imap/vpopmail
или
postfix+courier-imap
если стандарт mailbox:
sendmail + imap-uw и следить за security, разрешить извне только через ssl
можно cyrus, вариантов достаточно, уже не раз здесь расписывались, поиск
и найдешь все что нужно

"SSL"
Отправлено Алексей , 06-Авг-03 09:04

>что же все-таки выбрать, какая связка наиболее удачна и надежна .
>и естсвенно чтоб c ssl. ???
Я предпочитаю exim+courier-imap или exim+cyrus
Первый вариант много проще в конфигурировании, а в целом обе связки
хороши, по сравнению с сендмылом(ИМХО!), особено если нужны хитрые
извраты с почтой по дороге :)
ЗЫ Еще раз подчеркну, что все это ИМХО, так как с сендмылом я почти не
работал, а вот с этими двумя связками уже семь лет, и вполне доволен.