ikiWiki

Käyttäjän työkalut

Sivuston työkalut

Olet täällä: ikiWiki » faq » Sähköpostiserverien käyttämistä varmenteista
Jäljet: Harmaalistauksen toteutus IKI:ssä (grossd konfiguraatio) Iki:n jäseneksi liittyminen Jos iki-posti ei tule perille Mikä on DANE
faq:saehkoepostinvarmenteet

Erot

Tämä näyttää erot valitun ja nykyisen version kesken tästä sivusta.

Linkki vertailunäkymään

Both sides previous revisionEdellinen revisio
Seuraava revisio		Edellinen revisio
faq:saehkoepostinvarmenteet [2013-12-02 19:19] kivinenfaq:saehkoepostinvarmenteet [2018-09-27 12:30] (nykyinen) kivinen
Rivi 1: Rivi 1:
 +====== Sähköpostiserverien käyttämistä varmenteista ======
 +
 +IKI:n sähköpostiserverit käyttävät mailien lähettämiseen ja vastaanottoon STARTTLS:ää mikäli toisen pään sähköpostivälitysohjelma sitä tukee. Koska sähköpostien välitysohjelmille ei ole samanlaista globaalia CA-infrastructuuria kuin mitä www-varmenteille on, niin IKI:n serverit käyttävät omalla CA-varmenteella allekirjoitettua varmennetta SMTP TLS yhteyksissä. SMTP serverit on yleensä konfiguroitu niin että vastapään varmennetta ei varmisteta mitenkään, joten se ei suojaa ollenkaan aktiivisilta hyökkääjiltä jotka onnistuvat pääsemään yhteyden väliin. 
 +
 +Mikäli haluat konfiguroida oman sähköpostiserverisi niin että se varmistaa että IKI:tä tulevat mailit todella tulevat IKI:ltä niin voit käyttää iki:n CA-avainta:
 +
 +<code>
 +-----BEGIN X509 CERTIFICATE-----
 +MIIDITCCAgmgAwIBAgICJxAwDQYJKoZIhvcNAQELBQAwQTELMAkGA1UEBhMCRkkx
 +DDAKBgNVBAoTA0lLSTENMAsGA1UECxMETWFpbDEVMBMGA1UEAxMMTWFpbCAyMDE4
 +IENBMB4XDTE4MDEwMTAwMDAwMFoXDTI1MTIzMTIzNTk1OVowQTELMAkGA1UEBhMC
 +RkkxDDAKBgNVBAoTA0lLSTENMAsGA1UECxMETWFpbDEVMBMGA1UEAxMMTWFpbCAy
 +MDE4IENBMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA4L6ObmlRVSUj
 +DbrkeNax+ZgSf1iSG9NKPwSksj1kAwc59RwedsXt8gsXU4K5DbWyHzGeL0cNZNdm
 +dXyANMnFRALMXR4c3sDOXg98CXoO1CO+7HFjKtpOh05DCippL1C1gsnDe/zBqByZ
 +SX1MHJCgTSzU7PkGA5oaerkIwXESsolL8K6nMxiS1toe1Yky4sss8ZPNcgkMvBqQ
 +xhmxbJesbV97iBAHO2aj/tVXtcaQThdgxgY7fx/J6yFPo2gLIJWoVJbFhnaW/LkZ
 +AdMN5e2kKXkqbAo2hcyU+2laVT43XYsBVHpp7ZWJTwWnr73q5V6W97Cc47pNCopG
 +yUehXXne7QIDAQABoyMwITALBgNVHQ8EBAMCAoQwEgYDVR0TAQH/BAgwBgEB/wIB
 +ATANBgkqhkiG9w0BAQsFAAOCAQEAMOdf5ZNlih0cje4d9E9KJB5as9bDENIbQgzN
 +eCgIuA+B9XuGmP1aL6blOqBdx1nvL2HuWfLoX6238CsljMAr5LwFDHDUtmTpt/qC
 +BiTbNUd4cpAeDgdWwlDrl+DDyJq5kr4pLJU+eQrtJyQeRaNsFLRdiJC8RkTH9RSi
 +dXnCExHyrl3iqoS3IiicDvnXCgkrrhYpdvZg/foWKYaH+KbP0f7ySnx5gTXcA14j
 +4Q0iOjngxtUsZxFXMsaR7R7La4vj489z84Uc90N/bvBF8uGs+zQ9de4R18TJ0Tup
 +4lj2KYUYerbh++X0Gcc0kLKDFbtCPjI/ixVgVuAW/eNnnQ8fSg==
 +-----END X509 CERTIFICATE-----
 +</code>
 +
 +Tässä sama avain vielä "ymmärrettävässä" muodossa:
 +
 +<code>
 +Certificate = 
 +  SubjectName = <C=FI, O=IKI, OU=Mail, CN=Mail 2018 CA>
 +  IssuerName = <C=FI, O=IKI, OU=Mail, CN=Mail 2018 CA>
 +  SerialNumber= 10000
 +  SignatureAlgorithm = rsa-pkcs1-sha256
 +  Certificate seems to be self-signed.
 +      * Signature verification success.
 +  Validity = 
 +    NotBefore = 2018 Jan  1st, 00:00:00 GMT
 +    NotAfter  = 2025 Dec 31st, 23:59:59 GMT
 +  PublicKeyInfo = 
 +    PublicKey =
 +      Algorithm name (SSH) : if-modn{sign{rsa-pkcs1-md5}}
 +      Modulus n  (2048 bits) :
 +        28371347161743193094518720617772706523426815530185116582353026105107716
 +        38328331232006126457624143952749066696013032682718430134537350895869434
 +        93499829813155909640592334780385864033711659456080585675862442239414451
 +        48739774381764798385101053377246772178636113852251956818423399587105003
 +        46979768285258246011518782479166165270843540329685329742506811988096774
 +        69397301194042129546947948038321349876174256111883935016398036602630345
 +        21707628652724468485584136206003808582929212311098300638786414520869230
 +        77137368290687864666197291415520932275341194474437478929509853333558601
 +        8744807512990328528219694975038319157691333336813
 +      Exponent e (  17 bits) :
 +        65537
 +  Extensions = 
 +    Available = key usage, basic constraints(critical)
 +    KeyUsage = DigitalSignature KeyCertSign 
 +    BasicConstraints = 
 +      PathLength = 1
 +      cA         = true
 +        [CRITICAL]
 +  Public key SHA1 hash = 
 +    0d:eb:23:7d:d4:a5:0f:16:68:cb:19:fb:e3:9a:a5:f9:f8:df:3d:ea
 +  IKE Certificate hash = 
 +    38:8c:56:d9:cd:c1:3d:75:5c:22:c0:4b:dc:18:47:61:ce:03:99:57
 +  Fingerprints = 
 +    MD5 = 7f:59:52:5e:ca:74:44:5e:cd:a0:db:39:28:48:07:22
 +    SHA-1 = 9b:bd:9b:70:78:28:f0:00:03:a8:b0:b0:5d:61:63:fa:c6:10:d8:61
 +</code>
 +
 +Tällä hetkellä (joulukuu 2013) jokaisella mailikoneella on erillinen salainen avain ja nuo kaikki avaimet on allekirjoitettu tuolla CA avaimella (jonka varmenne tehtiin uudestaan tammikuussa 2018 käyttämään sha2:sta sha1:sen sijaan). Aikaisemmin käytettiin IKI CA avainta, mutta kun iki-ca kone on poissa käytöstä niin nuo sähköpostikoneiden alivarmenteet olivat vanhentuneet ja niiden päivittäminen ei onnistunut, niin siirryimme käyttämään erillistä CA:ta.
  

Sivutyökalut

Jollei muuta ole mainittu, niin sisältö tässä wikissä on lisensoitu seuraavalla lisenssillä: CC Attribution-Noncommercial-Share Alike 4.0 International
CC Attribution-Noncommercial-Share Alike 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki