31 de Diciembre, 2011

Nuevo certificado

Me parece que me quedan un par de usuarios de correo electrónico en este servidor, pero por algún motivo los clientes de correo no avisan cuando el certificado SSL caduca :(.

He generado uno nuevo, aunque el que veníamos usando dejó de ser válido en Julio sin que me hubiera dado cuenta (igual es porque como es self-signed, internamente ya cuenta como malo, así que al caducar no cambian las cosas).

Este año ha sido diferente respecto a la última vez (gracias a la sección Un Día Como Hoy me he dado cuenta del problema :P), porque el servidor corre ahora una Ubuntu server:

  • Recogemos el fichero cnf recomendado por la documentación de Dovecot y lo ajustamos a nuestras preferencias: dovecot-openssl.cnf (por algún motivo, el empaquetador de Ubuntu no incluye el fichero o yo al menos no lo he encontrado :S).
  • Ejecutamos dentro de /etc/ssl/certs:
    # make-ssl-cert dovecot-openssl.cnf mail.usebox.net.pem --force-overwrite
  • Copiamos el nuevo .pem en /etc/ssl/private (no es completamente necesario, dependerá de como esté nuestro dovecot.conf).
  • Recargamos los servicios.

La nueva huella para el nuevo certificado es:

# openssl x509 -subject -dates -fingerprint -in mail.usebox.net.pem -md5 | grep Finger
MD5 Fingerprint=3F:68:33:89:FD:9F:D2:B3:00:DB:50:BE:31:BB:7A:29

Al menos cuando se cambia el certificado, los clientes protestan mostrando los nuevos datos (me ha pasado con Evolution), protegiéndonos así de posibles ataques reemplazando el servidor.

Otra cosa interesante es que si no indicamos -md5 al inspeccionar el certificado con openssl, nos muestra el hash SHA1 (¿será ahora el hash por defecto?), pero Evolution nos indica la huella del nuevo certificado a usar empleando MD5.

Anotación por Juan J. Martínez, clasificada en: dovecot.

Los comentarios están cerrados: los comentarios se cierran automáticamente una vez pasados 30 días. Si quieres comentar algo acerca de la anotación, puedes hacerlo por e-mail.

Algunas anotaciones relacionadas: