グローバルサイン認証局の証明書を利用したSSL設定事例
グローバルサインのクイックSSLで発行されたテスト証明書(SHA2[sha256])を使った場合でのSSL設定の手順例です。
- ダウンロード
- キーを作成するには、あらかじめWindowsマシン上で作業を行う。
- 「ダウンロード」公開ページに用意されている openssl.exe(Openssl 1.0.2d)を組み込んだ SSL-Key-SHA2a.zipもしくはSSL-Key-SHA2.zip をダウンロードし、解凍する。
- CSRの作成
- Windowsマシン上からコマンドプロンプトを開き、解凍されたファイルの中から openssl.exe があることを確認する。
- 秘密鍵を生成する。
openssl genrsa -des3 -out ssl.globalsign.com.key 2048
- 作成した秘密鍵からパスフレーズを解除した秘密鍵(pem)を取りだす。
openssl rsa -in ssl.globalsign.com.key -out mykey.globalsign.pem
- グローバルサインに提供するCSRを作成する。
openssl req -config openssl.cnf -new -key ssl.globalsign.com.key -out ssl.globalsign.com.csr
- グローバルサインSSL証明書申し込み
- グローバルサインSSL証明書の申し込み手続きを行う。
(例)45日間無料使用できるグローバルサインのテスト用SSLサーバ証明書発行サービス
- 上記2で作成したCSRの内容をコピー&ペーストで貼り付け、証明書発行を依頼する。
- 証明書ファイル作成
- グローバルサインから受領した証明書について、メール本文から任意のテキストファイル【mycert.globalsign.pem】にコピー&ペーストしてWindowsマシンで保存する。
- メール本文で受け取った「◆証明書 SHA256」と「◆中間CA証明書」をそれぞれ【mycert.globalsign.pem】へ続けてコピー&ペーストしてWindowsマシンで保存する。
【mycert.globalsign.pem】の内容
-----BEGIN CERTIFICATE-----
:
-----END CERTIFICATE-------
-----BEGIN CERTIFICATE-----
:
-----END CERTIFICATE-------
- SSL設定
- E-POSTコントロールセンターのシステム管理にあるアップロードファイルを指定する機能か、またはSSHなどを使ってメールサーバマシンのコンソールにログインし、プログラムインストールフォルダの既定値である /usr/local/mta/bin フォルダに向けて、上記4でできた証明書ファイル Windowsマシンで【mycert.globalsign.pem】と、秘密鍵ファイル Windowsマシンで【mykey.globalsign.pem】をコピーする。
- E-POSTコントロールセンターのメールサーバ管理から[システム管理メニュー]をクリック、[SSL設定]を開く。
- 次の項目欄について秘密鍵ファイルと証明書ファイルを置いているフォルダについて、それぞれフルパス指定で設定する。
証明書ファイル欄の例 /usr/local/mta/bin/mycert.globalsign.pem
秘密鍵ファイル欄の例 /usr/local/mta/bin/mykey.globalsign.pem
- 最後に[設定する]ボタンをクリック。
- E-Postサービス再起動
- E-Post各サービスを再起動する。(epstrd、epstdd、epstpop3d、epstimap4d)
- メールクライアントでの送受信テストを行う。(※)
(※)たとえばメールクライアントにWindows Liveメールを使っているとき「証明書のCN名が渡された値と一致しません」と表示される場合、Windows Liveメール側のメールアカウントのサーバ名と証明書のCN(common name)が違っていることが原因です。メッセージを表示させないようにするには、メールアカウントで指定したサーバ名を見直し、正しいFQDNを設定することにより、その後は表示されなくなります。なお、認証局の証明書を利用する場合は、IPアドレスでの指定はNGです。
(関連FAQ)
●SMTP/POP3/IMAP4 over SSL/TLS設定方法