Nuevo certificado
Me parece que me quedan un par de usuarios de correo electrónico en este servidor, pero por algún motivo los clientes de correo no avisan cuando el certificado SSL
caduca :(.
He generado uno nuevo, aunque el que veníamos usando dejó de ser válido en Julio
sin que me hubiera dado cuenta (igual es porque como es self-signed, internamente ya cuenta como malo, así que al caducar no cambian las cosas).
Este año ha sido diferente respecto a la última vez (gracias a la sección Un Día Como Hoy me he dado cuenta del problema :P), porque el servidor corre ahora una Ubuntu server
:
- Recogemos el fichero
cnf
recomendado por la documentación deDovecot
y lo ajustamos a nuestras preferencias: dovecot-openssl.cnf (por algún motivo, el empaquetador deUbuntu
no incluye el fichero o yo al menos no lo he encontrado :S). - Ejecutamos dentro de
/etc/ssl/certs
:# make-ssl-cert dovecot-openssl.cnf mail.usebox.net.pem --force-overwrite
- Copiamos el nuevo
.pem
en/etc/ssl/private
(no es completamente necesario, dependerá de como esté nuestrodovecot.conf
). - Recargamos los servicios.
La nueva huella para el nuevo certificado es:
# openssl x509 -subject -dates -fingerprint -in mail.usebox.net.pem -md5 | grep Finger MD5 Fingerprint=3F:68:33:89:FD:9F:D2:B3:00:DB:50:BE:31:BB:7A:29
Al menos cuando se cambia el certificado, los clientes protestan mostrando los nuevos datos (me ha pasado con Evolution
), protegiéndonos así de posibles ataques reemplazando el servidor.
Otra cosa interesante es que si no indicamos -md5
al inspeccionar el certificado con openssl
, nos muestra el hash SHA1
(¿será ahora el hash por defecto?), pero Evolution
nos indica la huella del nuevo certificado a usar empleando MD5
.
Los comentarios están cerrados: los comentarios se cierran automáticamente una vez pasados 30 días. Si quieres comentar algo acerca de la anotación, puedes hacerlo por e-mail.