sendmail.cf の CACertPath CACertFile ServerCertFile

sendmail の maillog を見ていると verify=FAIL と出る場合がありますが、これは検証スルーすれば通信自体には、なんら問題はありません。

でも気持ちわるい。なので解消のため少し調べました。もともと関係性がいまいちわからなかったのでね、いい機会です。検証してみました。

最近の SSL/TLS 証明書は中間証明書が必ず存在するので、中間証明書を何処にセットするのか悩むところです。

他のサイトで fullcahin.pem や chain.pem と使い分けて CACertFile にセットしていたり、 ServerCertFile へ、順番としてはサーバ証明書、次に中間証明書と、chain 的にセットしていたのですが、外部からサーバに対して通信すると first どうのこうのと、SSL検証がエラーとなるのです。手元の環境ではうまくいかないのです。

• CACertFile: サーバ証明書発行機関から、サーバ証明書とセットで発行される中間証明書を単体で保存
• ServerCertFile: SSL 発行機関から発行された、サーバ証明書のみを保存
• CACertPath: このディレクトリへ、ca-root-nss.crt や、Mozilla 関連サイトなどで公開している ROOT 証明書(リスト)を保存（ファイル名はわかりやすければ何でも良し）し、中身を hash 値化したシンボリックリンクを作成

いろいろ調査した結果この方法でうまく verify=OK となる様になりました。

「サーバ→外部」「外部→サーバ」ともに通信が行える様になり、「サーバ→外部」は verify=OK と変化します。