![[imprimir]](/images/icons/print.jpg){kind=icon}
![[trackback]](/images/icons/link.jpg){kind=icon}
![[fecha]](/images/icons/calendar.jpg "Fecha de la anotación"){kind=icon}
23/03/2005 10:51:38
Nuevo certificado para POP3s
Felipe me ha avisado esta mañana que el certificado de blackshell ha caducado.
Tengo una pequeña guía sobre popa3d + stunnel para conseguir un servidor POP3s (POP3 con SSL; cifrado), pero el tema del certificado se resuelve automágicamente por el port :). Veamos los pasos para crear uno nuevo.
Según la página de stunnel, la orden para generar un nuevo certificado es:
openssl req -new -x509 -days 365 -nodes -config stunnel.cnf \ -out stunnel.pem -keyout stunnel.pem
Lamentablemente el fichero stunnel.cnf no se instala al crear el port de OpenBSD, así que me he bajado el fuente correspondiente y he recogido el fichero del directorio tools.
Voy a mandarle un correo al encargado del paquete. Sería interesante que dicho fichero se copiara a /etc/ssl en la instalación del port.
Además hay que hacer un par de cosas para modificar el certificado y que no se nos pida la contraseña cada vez que arranque stunnel:
# openssl rsa -in stunnel.pem -out temp.pem
Editamos temp.pem y le añadimos al final el contenido de CERTIFICATE de stunnel.pem. Reemplazamos el certificado viejo por el nuevo y listo. Cuidado que esto puede ponernos en problemas si se compromete el fichero (ya no tiene contraseña). Situarlo en /etc/ssl/private/ con permisos adecuados será suficiente.
Para los usuarios del servicio, la nueva huella del servidor es:
# openssl x509 -subject -dates -fingerprint -in stunnel.pem | grep Finger MD5 Fingerprint=89:C2:91:2F:21:8E:D0:BE:D7:FA:08:ED:10:E0:B7:7D
Este certificado durará otros 365 días :).
![[xml]](/images/xml.gif)
