Chinaunix首页 | 论坛 | 博客
  • 博客访问: 15073052
  • 博文数量: 7460
  • 博客积分: 10434
  • 博客等级: 上将
  • 技术积分: 78178
  • 用 户 组: 普通用户
  • 注册时间: 2008-03-02 22:54
文章分类

全部博文(7460)

文章存档

2011年(1)

2009年(669)

2008年(6790)

分类: BSD

2008-11-12 08:52:45

作者Tom Rhodes.

  许多用户可能并没有注意到 所附带的OpenSSL工具包的功能。OpenSSL提供了建立在普通的通讯层基础上的加密传输层;这些功能为许多网络应用和服务程序所广泛使用。

  对OpenSSL的一些常见用法包括加密邮件客户的身份验证过程, 基于 Web 的交易如信用卡等等。 许多 如, 以及等等都提供了进OpenSSL支持的方法。

注意:绝大多数情况下 Ports Collection 会试图使用security/openssl除非明确地将WITH_OPENSSL_BASEmake 变量设置为 “yes”。

  FreeBSD 中附带的OpenSSL版本能够支持 套接字层 v2/v3 (SSLv2/SSLv3) 和 安全传输层 v1 (TLSv1) 三种网络协议,并可作为通用的密码学库使用。

注意:尽管OpenSSL支持, 但由于美国专利, 它在默认情况下是不编译的。如果想使用它, 请查阅相应的授权, 如果认为授权可以接受, 则可以在make.conf中设置MAKE_IDEA

  为应用软件提供证书是OpenSSL最为常用的功能之一。证书是一种能够确保公司或个人有效身份不被伪造的凭据。 如果证书没有被众多 “权威发证机构”, 或, 它能够通过签署来证明个人或公司证书的有效性。这个过程是需要付费的, 当然, 这不是使用证书的必要条件; 然而,这样做会让那些比较偏执的用户感到轻松。

  为了生成证书, 需要使用下面的命令:

#openssl req -new -nodes -out req.pem -keyout cert.pemGenerating a 1024 bit RSA private key
................++++++
.......................................++++++
writing new private key to 'cert.pem'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:USState or Province Name (full name) [Some-State]:PALocality Name (eg, city) []:PittsburghOrganization Name (eg, company) [Internet Widgits Pty Ltd]:My CompanyOrganizational Unit Name (eg, section) []:Systems AdministratorCommon Name (eg, YOUR name) []:localhost.example.orgEmail Address []:trhodes@FreeBSD.orgPlease enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:SOME PASSWORDAn optional company name []:Another Name

  请注意, 在 “Common Name” 提示后面我们输入的是一个域名。这个提示要求输入服务器的名字, 这个名字今后将用于完成验证过程;如果在这里输入域名以外的内容, 那么证书也就失去其意义了。 您还可以指定一些其他的选项,比如证书的有效期, 以及使用的加密算法等等。 这些选项的完整列表, 可以在联机手册中找到。

  在您执行前述命令的目录中将生成两个。 证书申请, 即req.pem, 可以发给一家发证机构, 它将验证您输入的凭据的真实性,并对申请进行签名, 再把证书返还给您。 第二个文件的名字将是cert.pem, 它包含了证书的私钥, 应被全力保护; 如果它落入别人手中,则可以被用来伪造您 (或您的服务器)。

  如果不需要来自读取。 建议把权限设置为 0700, 这可以通过chmod工具来完成。

  那么有了这些文件可以做些什么呢? 一个比较典型的用法是用来加密Sendmail证书而向用户发出警告。请参考那些软件的说明了解关于安装证书的信息。

  下面的设置应添加到本地的.mc文件

dnl SSL Options
define(`confCACERT_PATH',`/etc/certs')dnl
define(`confCACERT',`/etc/certs/new.crt')dnl
define(`confSERVER_CERT',`/etc/certs/new.crt')dnl
define(`confSERVER_KEY',`/etc/certs/myca.key')dnl
define(`confTLS_SRV_OPTIONS', `V')dnl

  这里,/etc/certs/是准备用来在本地保存证书和密钥的位置。 最后, 需要重新生成本地的.cf文件。 这一工作可以简单地通过在 目录中执行makeinstall来完成。 接下来, 可以使用makerestart来重新启动Sendmail服务程序。

  如果一切正常的话, 在/var/log/maillog中就不会出现错误提示,Sendmail也应该出现在进程列表中。

  做一个简单的测试, 使用来连接邮件服务器:

#telnetexample.com25Trying 192.0.34.166...
Connected toexample.com.
Escape character is '^]'.
220example.comESMTP Sendmail 8.12.10/8.12.10; Tue, 31 Aug 2004 03:41:22 -0400 (EDT)ehloexample.com250-example.com Hello example.com [192.0.34.166], pleased to meet you
250-ENHANCEDSTATUSCODES
250-PIPELINING
250-8BITMIME
250-SIZE
250-DSN
250-ETRN
250-AUTH LOGIN PLAIN
250-STARTTLS
250-DELIVERBY
250 HELPquit221 2.0.0example.comclosing connection
Connection closed by foreign host.

  如果输出中出现了 “STARTTLS” 则说明一切正常。

阅读(1401) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~