著者:ym
sendmail.cf の CACertPath CACertFile ServerCertFile
sendmail の maillog を見ていると verify=FAIL と出る場合がありますが、これは検証スルーすれば通信自体には、なんら問題はありません。
でも気持ちわるい。なので解消のため少し調べました。もともと関係性がいまいちわからなかったのでね、いい機会です。検証してみました。
最近の SSL/TLS 証明書は中間証明書が必ず存在するので、中間証明書を何処にセットするのか悩むところです。
他のサイトで fullcahin.pem や chain.pem と使い分けて CACertFile にセットしていたり、 ServerCertFile へ、順番としてはサーバ証明書、次に中間証明書と、chain 的にセットしていたのですが、外部からサーバに対して通信すると first どうのこうのと、SSL検証がエラーとなるのです。手元の環境ではうまくいかないのです。
- CACertFile: サーバ証明書発行機関から、サーバ証明書とセットで発行される中間証明書を単体で保存
- ServerCertFile: SSL 発行機関から発行された、サーバ証明書のみを保存
- CACertPath: このディレクトリへ、ca-root-nss.crt や、Mozilla 関連サイトなどで公開している ROOT 証明書(リスト)を保存(ファイル名はわかりやすければ何でも良し)し、中身を hash 値化したシンボリックリンクを作成
いろいろ調査した結果この方法でうまく verify=OK となる様になりました。
「サーバ→外部」「外部→サーバ」ともに通信が行える様になり、「サーバ→外部」は verify=OK と変化します。
ym administrator
著者について