23 de Marzo, 2005

Nuevo certificado para POP3s

Felipe me ha avisado esta mañana que el certificado de blackshell ha caducado.

Tengo una pequeña guía sobre popa3d + stunnel para conseguir un servidor POP3s (POP3 con SSL; cifrado), pero el tema del certificado se resuelve automágicamente por el port :). Veamos los pasos para crear uno nuevo.

Según la página de stunnel, la orden para generar un nuevo certificado es:

openssl req -new -x509 -days 365 -nodes -config stunnel.cnf \
-out stunnel.pem -keyout stunnel.pem

Lamentablemente el fichero stunnel.cnf no se instala al crear el port de OpenBSD, así que me he bajado el fuente correspondiente y he recogido el fichero del directorio tools.

Voy a mandarle un correo al encargado del paquete. Sería interesante que dicho fichero se copiara a /etc/ssl en la instalación del port.

Además hay que hacer un par de cosas para modificar el certificado y que no se nos pida la contraseña cada vez que arranque stunnel:

# openssl rsa -in stunnel.pem -out temp.pem 

Editamos temp.pem y le añadimos al final el contenido de CERTIFICATE de stunnel.pem. Reemplazamos el certificado viejo por el nuevo y listo. Cuidado que esto puede ponernos en problemas si se compromete el fichero (ya no tiene contraseña). Situarlo en /etc/ssl/private/ con permisos adecuados será suficiente.

Para los usuarios del servicio, la nueva huella del servidor es:

# openssl x509 -subject -dates -fingerprint -in stunnel.pem | grep Finger
MD5 Fingerprint=89:C2:91:2F:21:8E:D0:BE:D7:FA:08:ED:10:E0:B7:7D

Este certificado durará otros 365 días :).

Anotación por Juan J. Martínez.

Los comentarios están cerrados: los comentarios se cierran automáticamente una vez pasados 30 días. Si quieres comentar algo acerca de la anotación, puedes hacerlo por e-mail.