On Mon, Apr 15, 2002 at 05:19:00PM +0200, Marco Gaiarin wrote: > credo di sbagliare/non capire qualcosa con i certificati, ma non so che > pesci pigliare... uso il certificato autogenerato in fase di > installazione del pacchetto. ops, mi ero perso questo particolare... :) Il certificato autogenerato da sslwrap dovrebbe bastare salvo il fatto che generarne uno apposito e' meglio: openssl req -new -x509 -nodes -out /etc/sslwrap/server.pem -keyout /etc/sslwrap/server.pem -days 365 il Common Name dovrebbe contenere il FQDN del server cosi' ad es. Explorer segnala solo il non riconoscimento dell'autorita' che dovrebbe rilasciarti la Certificazione (cosa che cmq non preclude l'inzio della connessione crittata) :) per il resto, la posta la scarico in tranquillita' con fetchmail-ssl, outlook (SSL), Mozilla-Mail (SSL) e quant'altro anche se ti consiglio di forwardare dal FW la connessione su un servizio SSL reale (gli IP passati al log dal wrapper infatti corrispondono sempre a localhost) solo vecchie versioni di Explorer (quella che gira sul mio PPC 9500) si rifiutano di stabilire la connessione criptata sulla porta 449 (su cui ho uno z-server che come ben noto non supporta ancora SSL) in quanto si rifiuta di riconoscere il certificato "self signed"... Il problema credo che sia da cercare a livello di client e non a livello di wrapper (forse Eudora nella versione PRO consente di stabilire connessioni crittate con certificati autogenerati, mentre nella versione light rompe le scatoline...) Ricapitolando: VPN per le sedi grosse ->> CIPE Posta per i clients esterni --> ipmasqadm portfw etc. etc. su SSL reale sslwrap per altre faccende, tenuto conto che sslwrap sul FW riscrive inetd.conf con permessi -rw-r--r-- ogni volta che viene riavviato (personalmente preferisco forwardare dal FW e far lavorare sslwrap in loopback) puff puff... ciao -- alessandro depetro <addp@move.it>
Attachment:
pgpnA69lMypLB.pgp
Description: PGP signature