No.6777　複数ドメインでのStunnel+SSL

複数ドメインでのStunnel+SSL - せもりな 07/02/23-17:44 No.6777
- CAは1個で良いですが・・・。 - おやじ 07/02/24-06:25 No.6781
  - Re: CAは1個で良いですが・・・。 - せもりな 07/02/24-11:41 No.6783
    - 証明書はホスト名対応（ドメインではない）に必要です。 - おやじ 07/02/24-12:33 No.6784
      - Re: 証明書はホスト名対応（ドメインではない）に必要です。 - せもりな 07/02/27-16:51 No.6796

No.6777　投稿時間：2007年02月23日(Fri) 17:44　投稿者名：せもりな　ＵＲＬ：
タイトル：複数ドメインでのStunnel+SSL

こちらの文献を参考にさせていただき、Stunnel+SSLで
SMTP over SSLを構築する事ができました。ありがとうございます。

質問があるのですが、1つのWindowsサーバーで2つ以上のドメインと
それに対応するグローバルアドレスを扱っている場合は
CAの場合はこちらの例で使われているc:\etc以外にc:\etc2のような
ディレクトリを作成しておける気がするのですが、Stunnelで
作成した証明書をインポートする場合はどのように指定すれば宜しいでしょうか？

No.6781　投稿時間：2007年02月24日(Sat) 06:25　投稿者名：おやじ　ＵＲＬ：
タイトル：CAは1個で良いですが・・・。

> 質問があるのですが、1つのWindowsサーバーで2つ以上のドメインと
> それに対応するグローバルアドレスを扱っている場合は
> CAの場合はこちらの例で使われているc:\etc以外にc:\etc2のような
> ディレクトリを作成しておける気がするのですが、Stunnelで
> 作成した証明書をインポートする場合はどのように指定すれば宜しいでしょうか？

3回ほど読み直したのですが、ご質問の趣旨が今一理解できません。
「CAの場合はこちらの例で使われているc:\etc以外にc:\etc2のようなディレクトリを作成しておける気がするのですが」とありますが、ドメインが何個あろうとそれらドメインを証明するCAは1つでいいので複数必要はありません。ここは勘違いされている？
次は、「Stunnelで作成した証明書をインポートする場合」というのは、何にインポートするという意味ですか？　Apacheにですか？
想定ですが、ApacheではIPベースのバーチャルホストを動かして2個の証明書、メール(stunnel)が1個でどうすればいいかがわからないのではないですが？
もしそうなら、CAは1個で良いのでそれぞれのサーバ証明書を作成すればよいだけですが・・・。

No.6783　投稿時間：2007年02月24日(Sat) 11:41　投稿者名：せもりな　ＵＲＬ：
タイトル：Re: CAは1個で良いですが・・・。

> 「CAの場合はこちらの例で使われているc:\etc以外にc:\etc2のようなディレクトリを作成しておける気がするのですが」とありますが、ドメインが何個あろうとそれらドメインを証明するCAは1つでいいので複数必要はありません。ここは勘違いされている？

すみません、ここ勘違いしていました；

> 次は、「Stunnelで作成した証明書をインポートする場合」というのは、何にインポートするという意味ですか？　Apacheにですか？
> 想定ですが、ApacheではIPベースのバーチャルホストを動かして2個の証明書、メール(stunnel)が1個でどうすればいいかがわからないのではないですが？
> もしそうなら、CAは1個で良いのでそれぞれのサーバ証明書を作成すればよいだけですが・・・。

ここも勘違いしていました；
説明下手ですみませんでした。
1つのSMTPデーモンで2つのドメインを[例aaa.comとbbb.com]を扱っています。

まず最初にこちらの文献を元にaaa.comを先に済ませようと作業し
CAの作業ディレクトリでaaa.comのサーバー証明書を作成し
Stunnelの参照先をこのaaa.comのサーバー証明書にしました。

そしてaaa.comのクライアントにaaa.comのクライアント側p12を
インポートさせ、動作確認は正常である事を確認しています。

この状態でaaa.comのサーバー証明書を作成したCAで
引き続きbbb.comのサーバー証明書(pemとcrtとP12)を作成したとして
このP12をbbb.comのクライアントにインポートさせただけでは
機能しませんでしたので、bbb.comのpemとcrtをどのように扱えば
問題なく動作をするのか、大変恐縮ですがご質問させていただいた次第でございます。

よろしくお願い致します。

No.6784　投稿時間：2007年02月24日(Sat) 12:33　投稿者名：おやじ　ＵＲＬ：
タイトル：証明書はホスト名対応（ドメインではない）に必要です。

> 1つのSMTPデーモンで2つのドメインを[例aaa.comとbbb.com]を扱っています。
>
> まず最初にこちらの文献を元にaaa.comを先に済ませようと作業し
> CAの作業ディレクトリでaaa.comのサーバー証明書を作成し
> Stunnelの参照先をこのaaa.comのサーバー証明書にしました。
>
> そしてaaa.comのクライアントにaaa.comのクライアント側p12を
> インポートさせ、動作確認は正常である事を確認しています。
>
> この状態でaaa.comのサーバー証明書を作成したCAで
> 引き続きbbb.comのサーバー証明書(pemとcrtとP12)を作成したとして
> このP12をbbb.comのクライアントにインポートさせただけでは
> 機能しませんでしたので、bbb.comのpemとcrtをどのように扱えば
> 問題なく動作をするのか、大変恐縮ですがご質問させていただいた次第でございます。

「 1つのSMTPデーモンで2つのドメインを[例aaa.comとbbb.com]を扱っています。」というくだりが、具体的にどうなのかが重要です。サーバが1台でIPも一個で単にバーチャルドメインを動かしているなら、証明書はホスト名対応に必要なのでドメインが何個あろうと1個の証明書で大丈夫です。
実際に2つのホスト名(2つのIP)で動作させているなら、下記（POP3Sの例）でできると思います。

[pop3s-1]
accept = mail.aaa.com:995
connect = mail.aaa.com:110
cert = c:/certs/server.crt
key = c:/certs/server.key

[pop3s-2]
accept = mail.bbb.com:995
connect = mail.bbb.com:110
cert = c:/certs/server2.crt
key = c:/certs/server2.key

No.6796　投稿時間：2007年02月27日(Tue) 16:51　投稿者名：せもりな　ＵＲＬ：
タイトル：Re: 証明書はホスト名対応（ドメインではない）に必要です。

ありがとうございます。
早速試して再度ご報告させていただきます。

｜掲示板｜▲頁先頭｜

No.6777 複数ドメインでのStunnel+SSL

No.6777　複数ドメインでのStunnel+SSL