On Mon, Apr 15, 2002 at 05:19:00PM +0200, Marco Gaiarin wrote:
> credo di sbagliare/non capire qualcosa con i certificati, ma non so che
> pesci pigliare... uso il certificato autogenerato in fase di
> installazione del pacchetto.
ops, mi ero perso questo particolare... :)
Il certificato autogenerato da sslwrap dovrebbe bastare salvo il
fatto che generarne uno apposito e' meglio:
openssl req -new -x509 -nodes -out /etc/sslwrap/server.pem -keyout /etc/sslwrap/server.pem -days 365
il Common Name dovrebbe contenere il FQDN del server cosi' ad es. Explorer segnala solo
il non riconoscimento dell'autorita' che dovrebbe rilasciarti la Certificazione (cosa che
cmq non preclude l'inzio della connessione crittata) :)
per il resto, la posta la scarico in tranquillita' con fetchmail-ssl, outlook (SSL), Mozilla-Mail (SSL)
e quant'altro anche se ti consiglio di forwardare dal FW la connessione su un servizio
SSL reale (gli IP passati al log dal wrapper infatti corrispondono sempre a localhost)
solo vecchie versioni di Explorer (quella che gira sul mio PPC 9500) si rifiutano
di stabilire la connessione criptata sulla porta 449 (su cui ho uno z-server che come ben
noto non supporta ancora SSL)
in quanto si rifiuta di riconoscere il certificato
"self signed"... Il problema credo che sia da cercare a livello
di client e non a livello di wrapper (forse Eudora nella versione PRO consente di stabilire
connessioni crittate con certificati autogenerati, mentre nella versione light rompe le
scatoline...)
Ricapitolando: VPN per le sedi grosse ->> CIPE
Posta per i clients esterni --> ipmasqadm portfw etc. etc. su SSL reale
sslwrap per altre faccende, tenuto conto che sslwrap sul FW riscrive
inetd.conf con permessi -rw-r--r-- ogni volta che viene riavviato
(personalmente preferisco forwardare dal FW e far lavorare sslwrap in
loopback)
puff puff...
ciao
--
alessandro depetro <addp@move.it>
Attachment:
pgpnA69lMypLB.pgp
Description: PGP signature