グーフー WordPressのためのLinuxノート

Dovecot にMUAからメールを取りに行く際の通信をセキュア化(暗号化)するために、Dovecot にTLS/SSLを導入します。
Dovecot には証明書の作成ツールが付属していますので、実に簡単に導入することができます。
その手順を整理しておきます。

1．dovecot-openssl.cnf の編集

[root ~]# vim /etc/pki/dovecot/dovecot-openssl.cnf
[ req ]
default_bits = 1024
encrypt_key = yes
distinguished_name = req_dn
x509_extensions = cert_type
prompt = no

[ req_dn ]
# country (2 letter code)
C=JP                                              | 変更

# State or Province Name (full name)
ST=xxxxxxxx                                       | 変更

# Locality Name (eg. city)
L=xxxxxxxx                                        | 変更

# Organization (eg. company)
O=goofoo                                          | 変更

# Organizational Unit Name (eg. section)
OU=Dovecot                                        | 変更

# Common Name (*.example.com is also possible)
CN=xxx.goofoo.jp                                  | 変更（正式なホスト名を設定する）

# E-mail contact
emailAddress=xxxxxx@xxx.goofoo.jp                 | 変更（管理者のメールアドレスを設定する）

[ cert_type ]
nsCertType = server

2．証明書の作成

ここでは、Dovecotのインストール時点で作成されている証明書を削除して、その後で、Dovecotに付属している証明書作成シェルスクリプト mkcert.sh を実行します。
mkcert.sh で作成される証明書のフルパスは次の通りです。

• 証明書ファイル・・・/etc/pki/dovecot/certs/dovecot.pem
• 秘密鍵ファイル・・・/etc/pki/dovecot/private/dovecot.pem

証明書の作成手順は次の通りです。

[root ~]# rm -f /etc/pki/dovecot/certs/dovecot.pem
[root ~]# rm -f /etc/pki/dovecot/private/dovecot.pem
[root ~]# /usr/share/doc/dovecot-1.0.7/examples/mkcert.sh
Generating a 1024 bit RSA private key
........................++++++
......................................................................++++++
writing new private key to '/etc/pki/dovecot/private/dovecot.pem'
-----

subject= /C=JP/ST=xxxxxxxx/L=xxxxxxxx/O=goofoo/OU=Dovecot/CN=xxx.goofoo.jp/emailAddress=xxxxxx@xxx.goofoo.jp
SHA1 Fingerprint=85:F7:CF:E0:E5:AC:23:9D:E2:F0:B2:F9:70:38:05:A4:4C:8E:35:F9

これで、公開鍵ファイルと秘密鍵ファイルが作成されます。

3．dovecot.conf の編集

[root ~]# vim /etc/dovecot.conf

4．dovecot の再起動

[root ~]# service dovecot restart
Dovecot Imap を停止中:                                     [  OK  ]
Dovecot Imap を起動中:                                     [  OK  ]

5．ファイアウォールの設定変更

pop3s接続には、TCPの995番ポートを使用しますので、iptablesの設定を変更して、再起動します。

[root ~]# vim /etc/sysconfig/iptables
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp -d 183.181.30.79 --dport 995 -j ACCEPT
[root ~]# service iptables restart
ファイアウォールルールを適用中:                            [  OK  ]
チェインポリシーを ACCEPT に設定中mangle filter nat        [  OK  ]
iptables モジュールを取り外し中                            [  OK  ]
iptables ファイアウォールルールを適用中:                   [  OK  ]

これで、Dovecot がpop3s接続を受け付けている状態になります。