dovecotでのサーバ証明書のインストール方法

dovecotでのサーバ証明書インストール手順

pop3s、imapsのポートを準備する

TLSでPOPサーバーに接続（pop3s）する場合、995番ポートを使います。IMAPサーバーに接続（imaps）する場合、993番ポートを使います。
ファイアウォールのデフォルトでは利用できない状態になっていることが多いので事前にチェックしてください。

dovecotで使うpem書式SSLサーバ証明書を準備する

dovecotでは「hostの証明書」と「中間証明書」（場合によっては「Root証明書」）を連結したpem書式SSLサーバ証明書ファイルと「秘密鍵」ファイル、あるいはその両方が連結されたpem書式のファイルを使います。

1. pem書式連結サーバー証明書ファイルを作成します

   秘密鍵はCSRを作成したときにできています。CSR作成時にパスフレーズを設定している場合は秘密鍵のパスフレーズを解除するを参照し、パスフレーズ解除済みの秘密鍵を読み込んでください。
   DigiCert証明書を使う場合は一般に、連結証明書に「root 証明書」を含める必要はありませんが、発行されたサーバー証明書名をお知らせいただければ、テキストエディタで開ける書式（pem 書式）で提供いたします。
   .pem ファイル一般については.PEM 書式の SSL サーバ証明書を作るにも記載があります。

   以下、「Root 証明書」「秘密鍵」も含んだpem書式 SSLサーバ証明書ファイル作成方法について説明します。
   秘密鍵、サーバ証明書、中間証明書、Root証明書をテキストエディタで開き、以下の順序で新しいファイルに貼り付けてください。

   1. 秘密鍵
   2. 発行されたサーバー証明書ファイル
   3. 中間証明書ファイル
   4. root 証明書ファイル

   各証明書の開始タグと終了タグを省略することはできませんので注意してください。
   作成された .pem ファイルは以下のような内容になります。

   
   —–BEGIN RSA PRIVATE KEY—–
   秘密鍵の記述内容
   —–END RSA PRIVATE KEY—–
   
   
   —–BEGIN CERTIFICATE—–
   発行されたサーバー証明書ファイルの記述内容
   —–END CERTIFICATE—–
   
   —–BEGIN CERTIFICATE—–
   中間証明書ファイルの記述内容
   —–END CERTIFICATE—–
   
   —–BEGIN CERTIFICATE—–
   root 証明書ファイルの記述内容
   —–END CERTIFICATE—–

   出来上がった pem ファイルに dovecot.pem のような名前を付けて保存してください。

2. pem ファイル をサーバーに保存します

   一般には証明書は【/etc/pki/dovecot/certs/】、秘密鍵は【/etc/pki/dovecot/private/】に保存します。
   秘密鍵が含まれるファイルはrootユーザー以外は閲覧できないようにしてください。

conf.d/10-ssl.conf での設定

SSL/TLS 利用設定は dovecot/conf.d/10-ssl.conf で行います。
デフォルトのパスは/etc/dovecot/conf.d/10-ssl.confです。

• 基本設定

  ssl = yes
  ssl_cert = </etc/pki/dovecot/certs/dovecot.pem
  ssl_key = </etc/pki/dovecot/private/dovecot.pem

  
  

  ※以下で説明するすべてのケースで「ssl = yes」設定は必須です。
  /etc/pki/dovecot/certs/dovecot.pem は秘密鍵を含まない連結証明書、
  /etc/pki/dovecot/private/dovecot.pem はパスフレーズ解除済みの秘密鍵です。
• 秘密鍵を含んだ連結証明書の場合

  ssl_cert = </etc/pki/dovecot/certs/dovecot.pem
  ssl_key = </etc/pki/dovecot/certs/dovecot.pem

  
  

  この場合、/etc/pki/dovecot/certs/dovecot.pem はrootユーザー以外は閲覧できないようにしてください。
• POP、IMAPで異なる証明書を指定する場合

  POP、IMAPで異なる証明書を指定することもできます。その場合は以下のように指定します。
  この指定の場合、デフォルトの ssl_cert、ssl_key の指定も必要です。
  

  
  

  ssl_cert = </etc/pki/dovecot/certs/dovecot.pem
  ssl_key = </etc/pki/dovecot/private/dovecot.pem
  protocol imap {
  ssl_cert = </etc/pki/dovecot/certs/imap.pem
  ssl_key = </etc/pki/dovecot/private/imap.pem
  }
  protocol pop3 {
  ssl_cert = </etc/pki/dovecot/certs/pop3.pem
  ssl_key = </etc/pki/dovecot/private/pop3.pem
  }

  
  

• サーバー上に複数のホストがあり、それぞれが異なるIPアドレスを使っている場合

  この指定の場合、デフォルトの ssl_cert、ssl_key の指定も必要です。

  ssl_cert = </etc/pki/dovecot/certs/dovecot.pem
  ssl_key = </etc/pki/dovecot/private/dovecot.pem
  local 12.34.56.78 {
  ssl_cert = </etc/ssl/dovecot/example1.com.cert.pem
  ssl_key = </etc/pki/dovecot/private/example1.com.key.pem
  }

  local 12.34.56.79 {
  ssl_cert = </etc/ssl/dovecot/example2.com.cert.pem
  ssl_key = </etc/pki/dovecot/private/example2.com.key.pem
  }

  
  

  上記はIPアドレス【12.34.56.78】と【12.34.56.79】の例ですが、各ホストが別のIPアドレスを使っている場合、IPアドレスではなくホスト名で指定することもできます。
• サーバー上に複数のホストがあり、同一のIPアドレスを使っている場合

  この指定の場合、デフォルトの ssl_cert、ssl_key の指定も必要です。
  

  
  

  ssl_cert = </etc/pki/dovecot/certs/dovecot.pem
  ssl_key = </etc/pki/dovecot/private/dovecot.pem
  local_name example1.org {
  ssl_cert = </etc/pki/dovecot/certs/example1.org.crt
  ssl_key = </etc/pki/dovecot/private/example1.org.key
  }
  local_name example2.org {
  ssl_cert = </etc/pki/dovecot/certs/example2.org.crt
  ssl_key = </etc/pki/dovecot/private/example2.org.key
  }

  
  

  このケースでは、マルチドメイン証明書やワイルドカード証明書を使っていて、ホスト名は異なるが、証明書は同一というケースを除いては、クライアントがモバイルの場合エラーになります。モバイル以外でも、メールクライアントがTLS SNIに対応していないとエラーになります。

関連情報

• dovecot用のCSR作成方法
• .PEM 書式のSSLサーバ証明書を作る
• 秘密鍵のパスフレーズを解除する