自從上次建置完成 X.509 SSL 憑證後,接著就是把這個憑證應用在,小瑞公司的各項網路服務了。

這些網路服務基本上包含下列幾項:HTTP / SMTP / FTP / IMAP / POP3
工程很耗大嗎?其實還好只是把設定值加上原本的config 檔中而已...

easy

已經完成的作業
如何製作 SSL X.509憑證

所以我們手上有
CA KEY

/etc/ssl/certs/nuface.ca.crt.pem (公鑰)
/etc/ssl/private/nuface.ca.key.pem (私鑰)

blog.nuface.tw 的SSL憑證

/etc/ssl/certs/blog.nuface.crt.pem (公鑰)
/etc/ssl/private/blog.nuface.key.pem (私鑰)

HTTPS

限定某一特定目錄一定要使用HTTPS 來做加密連線,通常是有機密資料要做輸入,或Server 輸出敏感資料,可以使用SSL來做加密!

OS: CentOS 5.4 2.6.18-164.11.1.el5xen
Apache : 2.2

修改 httpd.conf 設定檔
在要做SSL 的目錄下加入 SSLRequireSSL

<Directory "/var/www/cgi-bin">
  SSLRequireSSL
  AllowOverride None
  Options None
  Order allow,deny
  Allow from all
</Directory>

接著修改 ssl.conf

vi /etc/httpd/conf.d/ssl.conf
# 修改
SSLCertificateFile /etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile /etc/pki/tls/private/localhost.key

SSLCertificateFile /etc/ssl/certs/blog.nuface.crt.pem
SSLCertificateKeyFile /etc/ssl/private/blog.nuface.key.pem

接著重啟 httpd 即可

service httpd restart

基本上,一個站只可以有一個SSL 的站台,除非使用不同的port 去做區隔才有辦法,一個IP上跑多個SSL。

SMTPS

限定使用者在寄信時要做SMTP 認證時, 使用 SSL 做加密帳號密碼資料。

OS: CentOS 5.4 2.6.18-164.11.1.el5xen
Postfix: 2.3.3

為 postfix 的smtp 加入 tls 通訊
vi /etc/postfix/main.cf
# 找到 TLS parameters 的 section ,如果沒有,自行加上
# 將mark #去除 , 同時修改 cert / 及 key file 的位置
smtpd_use_tls = yes
smtpd_tls_loglevel = 2
smtpd_tls_cert_file = /etc/ssl/certs/blog.nuface.crt.pem
smtpd_tls_key_file = /etc/ssl/private/blog.nuface.key.pem
smtpd_tls_auth_only = no
smtpd_tls_received_header = yes

解決討人厭的 Outlook 2003 / Outlook express 登入認證問題,禁止Outlook 使用 PAINT 及LOGIN方式登入

vi /etc/postfix/main.cf
# SASL paramters
smtpd_sasl_auth_enable = yes
#smtpd_sasl_security_options = noanonymous # mark 掉這行, 改為下面那行
smtpd_sasl_security_options = noplaintext
smtpd_sasl_local_domain =
broken_sasl_auth_clients = yes

重啟 postfix即可

service postfix restart

以後使用 郵件軟體時,即可指定說我要用SMTPS

SMTPS 說明

SMTPS 說明

SMTPS 說明

FTPS

在FTP 通訊時,認證資料及傳輸資料做SSL 加密

OS: CentOS 5.4 2.6.18-164.11.1.el5xen
Proftpd: 1.3.2b

設定 ftp 使用tls 通訊
vi /etc/proftpd.cf
# 找到 SSL via TLS 的 section
# 在下面直接寫入設定檔
<IfModule mod_tls.c>
 TLSEngine on  
 TLSLog /var/log/proftpd/ftp_ssl.log
 TLSProtocol SSLv23
 TLSOptions NoCertRequest
 TLSRequired Off
 TLSRSACertificateFile /etc/ssl/certs/blog.nuface.crt.pem
 TLSRSACertificateKeyFile /etc/ssl/private/blog.nuface.key.pem
 TLSCACertificateFile /etc/ssl/certs/nuface.ca.crt.pem
 TLSVerifyClient off
</IfModule>

重啟 proftpd 即可

service proftpd restart

使用FTP client 軟體時,即可指定使用TLS / SSL 加密連線!

FTPS 說明

FTPS 說明

IMAPS

在郵件伺服器有提供IMAP時,為使用者與Server 間做SSL 加密!

OS: CentOS 5.4 2.6.18-164.11.1.el5xen
Courier-imap: 4.7.0
Openssl-perl: 0.9.8e

先 Rehash certs file

cd /etc/ssl/certs
cat blog.nuface.crt.pem ../private/blog.nuface.key.pem > courier.pem
cat nuface.ca.crt.pem ../private/nuface.ca.key.pem > courier.ca.pem
c_rehash

修改 imapd-ss 設定

vi /usr/lib/courier-imap/etc/imapd-ssl
#TLS_CERTFILE=/usr/lib/courier-imap/share/imapd.pem
# 改為
TLS_CERTFILE=/etc/ssl/certs/courier.pem
# TLS_TRUSTCERTS=/etc/pki/tls/cert.pem
# 改為
TLS_TRUSTCERTS=/etc/ssl/certs

重啟IMAP 即可

service courier-imap restart

以後使用IMAP 時,即可使用SSL 做加密連線!

IMAPS 說明

IMAPS 說明

IMAPS 說明

POP3S

當郵件伺服器提供POP3時,提供使用者與Server 間的SSL加密連線!

OS: CentOS 5.4 2.6.18-164.11.1.el5xen
Courier-imap: 4.7.0
Openssl-perl: 0.9.8e

修改 courier-pop3-ssl憑證檔

vi /usr/lib/courier-imap/etc/pop3d-ssl
#TLS_CERTFILE=/usr/lib/courier-imap/share/pop3d.pem
# 改為
TLS_CERTFILE=/etc/ssl/certs/courier.pem
# TLS_TRUSTCERTS=/etc/pki/tls/cert.pem
# 改為
TLS_TRUSTCERTS=/etc/ssl/certs

重啟IMAP 即可

service courier-imap restart

以後使用POP3 時,即可使用SSL 做加密連線!

POP3s 說明

POP3s 說明

POP3s 說明

POP3s 說明

POP3s 說明

POP3s 說明

這樣就把常用的網路服務,做了SSL 加密囉!

日期:2010/03/16 | 留言:4 個 | 作者:Rico | 瀏覽:
分類:MIS易筋經,網路篇
標籤:, , , , ,
  1. 目前還沒有留言!
  1. |
    2010/03/18 at 21:48:09 | 1

    […] 各項網路服務 + SSL 應用 日期:2010/02/23 | 留言:2 個 | 作者:Rico | 瀏覽:20人次 分類:MIS鳥日記 標籤:sniffer, 密碼, 明碼, 通訊協定 留言 (2) 引用 (0) […]

  2. |
    2010/04/04 at 14:36:34 | 2

    […] client1.key / client1.csr / ta.key 最好使用安全的方式,FTP 到小瑞的電腦,請參考 各項網路服務 + SSL 應用,不過目前都在內網中,所以小瑞偷懶,就直接FTP 捉下來,放到C:Program […]

  3. |
    2010/04/20 at 21:04:22 | 3

    […] Secret 為Yes 就是要保密的私鑰,NO 的就是可以公開,到處散播的公鑰。當然Client要用的,就只給那個User ,可以透過SSL 加密的方式,使用網際網路來傳送給User ,如何使用SSL 加密的通訊服務,請參考這篇 各項網路服務 + SSL 應用。 […]

  4. |
    2010/09/30 at 16:04:13 | 4

    […] 飄狂山莊 瑪奇、LUNA、工作筆記  30 Sep 2010 @ 3:23 PM   引用-紐菲斯的部落格-各項網路服務 + SSL 應用  Amplify’d from blog.nuface.tw […]

*

Copyright -0001 紐菲斯的部落格