Ключевые слова:ssl, tunnel, pop3, imap, (найти похожие документы)
_ RU.UNIX.BSD (2:5077/15.22) _____________________________________ RU.UNIX.BSD _
From : Vadim Mikhailov 2:5071/11.11 01 Dec 99 21:36:44
Subj : IMAP & POP3 over SSL
________________________________________________________________________________
Привет, Pauel!
Среда Декабрь 01 1999 21:11, Pauel Loshkin --> Vadim Mikhailov:
VM>> Я кстати недавно заставил цируса работать с ssl (через stunnel).
VM>> Приятно иметь работающие imap-ssl и pop3-ssl - враг не пройдет :)
PL> А поделиться pецептом ? Интеpесно млин...
Взять порты от FreeBSD-3.3R (от 3.2 точно не работает). Если скачать порты от
-current, там в stunnel тоже какой-то глюк с патчами - тот patch-aa, который
лежит на месте неправильный, а тот который правильный почему-то попал в files.
Hу ладно, это детали. Что дальше? Во-первых, я сделал
setenv USA_RESIDENT YES
Так как я сейчас работаю в USA, совесть спокойна. Думаю что вам лучше сделать
setenv USA_RESIDENT NO :)
cd /usr/ports/security/rsaref
make install
cd /usr/ports/security/openssl
make install (на слабой машине это может длиться очень долго)
cd /usr/ports/security/stunnel
make
Поправить stunnel.cnf на свои настройки (в каталоге work/stunnel). Главное
чтобы имя хоста совпадало с именем в сертификате, иначе нетскапа или аутглюк
будут постоянно орать что сертификат левый.
make cert
Возможно понадобится потом скопировать stunnel.pem в /usr/local/certs и
сделать ему chown cyrus.cyrus)
make install
touch /var/run/stunnel.imapd.pid
chown cyrus.cyrus /var/run/stunnel.imapd.pid
touch /var/run/stunnel.pop3d.pid
chown cyrus.cyrus /var/run/stunnel.pop3d.pid
echo "imap-ssl 993/tcp" >> /etc/services (посмотреть, чтобы лишних не было)
echo "pop3-ssl 995/tcp" >> /etc/services
echo "imap-ssl stream tcp nowait cyrus /usr/local/sbin/stunnel stunnel
-l /usr/local/cyrus/bin/imapd imapd" >> /etc/inetd.conf (одна строка)
echo "pop3-ssl stream tcp nowait cyrus /usr/local/sbin/stunnel stunnel
-l /usr/local/cyrus/bin/pop3d pop3d" >> /etc/inetd.conf (одна строка)
killall -1 inetd
Вот и все, готово!
Так как цифровой сертификат будет левый - "я, Вася Пупкин, настоящим
удостоверяю что я Вася Пупкин" :), то нетскапа будет иногда на это обижаться :)
Hастоящий сертификат можно купить на www.verisign.com, но он стоит около $500 в
год.
Сделать все без inetd.conf, как рекомендуется в мане на stunnel, у меня не
получилось, так как cyrus должен работать не от рута (поэтому приходится кое-что
chown-ить на cyrus, иначе ему не хватает прав), а в этом случае он не может
открыть порт 993 (imap-ssl) или 995 (pop3-ssl) - меньше 1023 :(
Если у кого-нибудь получится сделать это без inetd, мне было бы очень
интересно - напишите в эху.
Если эта инструкция попадет в какой-нибудь FAQ, хотелось бы чтобы копирайт
мой стоял :)
Пока,
Vadim Mikhailov
--- Сидит дед, в 3.00.Beta5+ шуб одет * Origin: mvp@home (2:5071/11.11)