dovecot:SSLサーバ証明書の設定[ワイルドカード・マルチドメインタイプ]

複数のコモンネーム(FQDN)でPOPSやIMAPSを利用する手順をご案内します。ワイルドカードやマルチドメインなど複数のFQDNに対応したSSLサーバ証明書や、SNI、IPベースの設定手順をご案内します。

構成例

SSLの設定ファイル /etc/dovecot/conf.d/10-ssl.conf
秘密鍵の保存ディレクトリ /etc/pki/tls/private/
SSLサーバ証明書の保存ディレクトリ /etc/pki/tls/certs/

※dovecotのバージョンや環境によってパスやディレクトリ名、ファイル名などが異なる場合があります。お客様の環境に合わせて設定してください。

設定手順

  1. 送付したSSLサーバ証明書と中間証明書を、SSLサーバ証明書の保存ディレクトリに保存してください。

    ※設定済みの証明書及び秘密鍵を上書きしないようご注意ください。

  2. サーバにログインして/etc/pki/tls/に移動してください。
    # cd /etc/pki/tls/
  3. SSLサーバ証明書と中間証明書を結合してください。
    #cat SSLサーバ証明書ファイル 中間証明書ファイル > 新しい結合ファイル
    #cat certs/example_com.crt certs/example_com.ca-bundle > certs/example_com_combined.crt
  4. 結合したSSLサーバ証明書を、root権限のみで読めるようにアクセス権と所有権を変更してください。
    # chmod 400 SSLサーバ証明書の保存ディレクトリ/結合後のファイル名
    # chown root:root SSLサーバ証明書の保存ディレクトリ/結合後のファイル名
    
    # chmod 400 certs/example_com_combined.crt
    # chown root:root certs/example_com_combined.crt

    ※ 結合前のSSLサーバ証明書を利用しない場合は削除しても問題ありません。

  5. 続いて、SSLの設定ファイルをvi等のエディタで開いてください。
    # vi SSLの設定ファイル
    # vi /etc/dovecot/conf.d/10-ssl.conf
  6. SSLに該当する項目を設定します。ワイルドカードやマルチドメインタイプで、SSLサーバ証明書1枚を用いて設定する場合はFQDN別に設定する必要はありません。通常と同じ設定でFQDN別にご利用いただけます。

    ssl SSLの有効/無効を指定します。
    ssl_cert 結合したSSLサーバ証明書ファイルを指定します。
    ssl_key SSLサーバ証明書とペアになる秘密鍵を指定します。
    ssl_protocols SSLで使用するプロトコルを指定します。
    ssl = 有効/無効
    
    …
    
    ssl_cert = <SSLサーバ証明書を保存しているディレクトリ/SSLサーバ証明書のファイル名
    ssl_key = <秘密鍵を保存しているディレクトリ/秘密鍵のファイル名
    ssl_protocols = プロトコル(プロトコル名の頭に!をつけると使用禁止)
    ssl = yes
    	
    …
    				
    ssl_cert = </etc/pki/tls/certs/example_com_combind.crt
    ssl_key = </etc/pki/tls/private/example_com.key
    ssl_protocols = !SSLv2 !SSLv3

    SSLサーバ証明書が複数ある場合は、SNI(Server Name Indication)もしくはIPアドレス別で設定してください。

    SNI利用

    ssl = 有効/無効
    
    …
    
    ssl_cert = <SSLサーバ証明書を保存しているディレクトリ/SSLサーバ証明書のファイル名
    ssl_key = <秘密鍵を保存しているディレクトリ/秘密鍵のファイル名
    ssl_protocols = プロトコル(プロトコル名の頭に!をつけると使用禁止)
    
    local_name コモンネーム {
    ssl_cert = <SSLサーバ証明書を保存しているディレクトリ/SSLサーバ証明書のファイル名2
    ssl_key = <秘密鍵を保存しているディレクトリ/秘密鍵のファイル名2
    }
    ssl = yes
    	
    …
    				
    ssl_cert = </etc/pki/tls/certs/example_com_combind.crt
    ssl_key = </etc/pki/tls/private/example_com.key
    ssl_protocols = !SSLv2 !SSLv3
    
    local_name example.jp {
    ssl_cert = </etc/pki/tls/certs/STAR_example_jp_combind.crt
    ssl_key = </etc/pki/tls/private/example_jp.key
    }
    local_name contact.example.jp {
    ssl_cert = </etc/pki/tls/certs/STAR_example_jp_combind.crt
    ssl_key = </etc/pki/tls/private/example_jp.key
    }
    local_name sales.example.jp {
    ssl_cert = </etc/pki/tls/certs/STAR_example_jp_combind.crt
    ssl_key = </etc/pki/tls/private/example_jp.key
    }

    コモンネーム別にIPアドレスを使用する場合

    ssl = 有効/無効
    
    …
    
    ssl_cert = <SSLサーバ証明書を保存しているディレクトリ/SSLサーバ証明書のファイル名
    ssl_key = <秘密鍵を保存しているディレクトリ/秘密鍵のファイル名
    ssl_protocols = プロトコル(プロトコル名の頭に!をつけると使用禁止)
    
    local IPアドレス {
    ssl_cert = <SSLサーバ証明書を保存しているディレクトリ/SSLサーバ証明書のファイル名2
    ssl_key = <秘密鍵を保存しているディレクトリ/秘密鍵のファイル名2
    }
    ssl = yes
    	
    …
    				
    ssl_cert = </etc/pki/tls/certs/example_com_combind.crt
    ssl_key = </etc/pki/tls/private/example_com.key
    ssl_protocols = !SSLv2 !SSLv3
    
    local 192.168.1.100 {
    ssl_cert = </etc/pki/tls/certs/STAR_example_jp_combind.crt
    ssl_key = </etc/pki/tls/private/example_jp.key
    }
    local 192.168.1.101 {
    ssl_cert = </etc/pki/tls/certs/STAR_example_jp_combind.crt
    ssl_key = </etc/pki/tls/private/example_jp.key
    }
    local 192.168.1.102 {
    ssl_cert = </etc/pki/tls/certs/STAR_example_jp_combind.crt
    ssl_key = </etc/pki/tls/private/example_jp.key
    }
  7. doveconfで設定に誤りがないか検証してください。
    #doveconf -n
    #doveconf -n
    …
    ssl_cert = </etc/pki/tls/certs/example_com_combind.crt
    ssl_key = </etc/pki/tls/private/example_com.key

    ※ doveconf -nを実行すると、デフォルトと異なる設定を表示します。誤りがある場合はエラーを表示します。

  8. reloadもしくはrestartで設定を反映させてください。
    # /etc/init.d/dovecot reload
    Dovecot Imap を再読み込み中:                                      [  OK  ]
  9. 以上で設定は完了です。SSL通信に問題がないか、証明書の有効期限が更新されているか等を確認してください。

dovecot関連情報

dovecot

ページの先頭に戻る

  1. ホーム
  2. サポート
  3. マニュアル
  4. dovecot
  5. SSLサーバ証明書の設定[マルチドメイン]