自從上次建置完成 X.509 SSL 憑證後,接著就是把這個憑證應用在,小瑞公司的各項網路服務了。
這些網路服務基本上包含下列幾項:HTTP / SMTP / FTP / IMAP / POP3
工程很耗大嗎?其實還好只是把設定值加上原本的config 檔中而已...
已經完成的作業
如何製作 SSL X.509憑證
所以我們手上有
CA KEY
/etc/ssl/certs/nuface.ca.crt.pem (公鑰)
/etc/ssl/private/nuface.ca.key.pem (私鑰)
blog.nuface.tw 的SSL憑證
/etc/ssl/certs/blog.nuface.crt.pem (公鑰)
/etc/ssl/private/blog.nuface.key.pem (私鑰)
HTTPS
限定某一特定目錄一定要使用HTTPS 來做加密連線,通常是有機密資料要做輸入,或Server 輸出敏感資料,可以使用SSL來做加密!
OS: CentOS 5.4 2.6.18-164.11.1.el5xen
Apache : 2.2
修改 httpd.conf 設定檔
在要做SSL 的目錄下加入 SSLRequireSSL
<Directory "/var/www/cgi-bin">
SSLRequireSSL
AllowOverride None
Options None
Order allow,deny
Allow from all
</Directory>
接著修改 ssl.conf
vi /etc/httpd/conf.d/ssl.conf
# 修改
SSLCertificateFile /etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile /etc/pki/tls/private/localhost.key
為
SSLCertificateFile /etc/ssl/certs/blog.nuface.crt.pem
SSLCertificateKeyFile /etc/ssl/private/blog.nuface.key.pem
接著重啟 httpd 即可
service httpd restart
基本上,一個站只可以有一個SSL 的站台,除非使用不同的port 去做區隔才有辦法,一個IP上跑多個SSL。
SMTPS
限定使用者在寄信時要做SMTP 認證時, 使用 SSL 做加密帳號密碼資料。
OS: CentOS 5.4 2.6.18-164.11.1.el5xen
Postfix: 2.3.3
為 postfix 的smtp 加入 tls 通訊
vi /etc/postfix/main.cf
# 找到 TLS parameters 的 section ,如果沒有,自行加上
# 將mark #去除 , 同時修改 cert / 及 key file 的位置
smtpd_use_tls = yes
smtpd_tls_loglevel = 2
smtpd_tls_cert_file = /etc/ssl/certs/blog.nuface.crt.pem
smtpd_tls_key_file = /etc/ssl/private/blog.nuface.key.pem
smtpd_tls_auth_only = no
smtpd_tls_received_header = yes
解決討人厭的 Outlook 2003 / Outlook express 登入認證問題,禁止Outlook 使用 PAINT 及LOGIN方式登入
vi /etc/postfix/main.cf
# SASL paramters
smtpd_sasl_auth_enable = yes
#smtpd_sasl_security_options = noanonymous # mark 掉這行, 改為下面那行
smtpd_sasl_security_options = noplaintext
smtpd_sasl_local_domain =
broken_sasl_auth_clients = yes
重啟 postfix即可
service postfix restart
以後使用 郵件軟體時,即可指定說我要用SMTPS
FTPS
在FTP 通訊時,認證資料及傳輸資料做SSL 加密
OS: CentOS 5.4 2.6.18-164.11.1.el5xen
Proftpd: 1.3.2b
設定 ftp 使用tls 通訊
vi /etc/proftpd.cf
# 找到 SSL via TLS 的 section
# 在下面直接寫入設定檔
<IfModule mod_tls.c>
TLSEngine on
TLSLog /var/log/proftpd/ftp_ssl.log
TLSProtocol SSLv23
TLSOptions NoCertRequest
TLSRequired Off
TLSRSACertificateFile /etc/ssl/certs/blog.nuface.crt.pem
TLSRSACertificateKeyFile /etc/ssl/private/blog.nuface.key.pem
TLSCACertificateFile /etc/ssl/certs/nuface.ca.crt.pem
TLSVerifyClient off
</IfModule>
重啟 proftpd 即可
service proftpd restart
使用FTP client 軟體時,即可指定使用TLS / SSL 加密連線!
IMAPS
在郵件伺服器有提供IMAP時,為使用者與Server 間做SSL 加密!
OS: CentOS 5.4 2.6.18-164.11.1.el5xen
Courier-imap: 4.7.0
Openssl-perl: 0.9.8e
先 Rehash certs file
cd /etc/ssl/certs
cat blog.nuface.crt.pem ../private/blog.nuface.key.pem > courier.pem
cat nuface.ca.crt.pem ../private/nuface.ca.key.pem > courier.ca.pem
c_rehash
修改 imapd-ss 設定
vi /usr/lib/courier-imap/etc/imapd-ssl
#TLS_CERTFILE=/usr/lib/courier-imap/share/imapd.pem
# 改為
TLS_CERTFILE=/etc/ssl/certs/courier.pem
# TLS_TRUSTCERTS=/etc/pki/tls/cert.pem
# 改為
TLS_TRUSTCERTS=/etc/ssl/certs
重啟IMAP 即可
service courier-imap restart
以後使用IMAP 時,即可使用SSL 做加密連線!
POP3S
當郵件伺服器提供POP3時,提供使用者與Server 間的SSL加密連線!
OS: CentOS 5.4 2.6.18-164.11.1.el5xen
Courier-imap: 4.7.0
Openssl-perl: 0.9.8e
修改 courier-pop3-ssl憑證檔
vi /usr/lib/courier-imap/etc/pop3d-ssl
#TLS_CERTFILE=/usr/lib/courier-imap/share/pop3d.pem
# 改為
TLS_CERTFILE=/etc/ssl/certs/courier.pem
# TLS_TRUSTCERTS=/etc/pki/tls/cert.pem
# 改為
TLS_TRUSTCERTS=/etc/ssl/certs
重啟IMAP 即可
service courier-imap restart
以後使用POP3 時,即可使用SSL 做加密連線!
這樣就把常用的網路服務,做了SSL 加密囉!
[…] 各項網路服務 + SSL 應用 日期:2010/02/23 | 留言:2 個 | 作者:Rico | 瀏覽:20人次 分類:MIS鳥日記 標籤:sniffer, 密碼, 明碼, 通訊協定 留言 (2) 引用 (0) […]
[…] client1.key / client1.csr / ta.key 最好使用安全的方式,FTP 到小瑞的電腦,請參考 各項網路服務 + SSL 應用,不過目前都在內網中,所以小瑞偷懶,就直接FTP 捉下來,放到C:Program […]
[…] Secret 為Yes 就是要保密的私鑰,NO 的就是可以公開,到處散播的公鑰。當然Client要用的,就只給那個User ,可以透過SSL 加密的方式,使用網際網路來傳送給User ,如何使用SSL 加密的通訊服務,請參考這篇 各項網路服務 + SSL 應用。 […]
[…] 飄狂山莊 瑪奇、LUNA、工作筆記 30 Sep 2010 @ 3:23 PM 引用-紐菲斯的部落格-各項網路服務 + SSL 應用 Amplify’d from blog.nuface.tw […]