Käyttäjän työkalut

Sivuston työkalut


faq:saehkoepostinvarmenteet

Tämä on vanha versio dokumentista!


Sähköpostiserverien käyttämistä varmenteista

IKI:n sähköpostiserverit käyttävät mailien lähettämiseen ja vastaanottoon STARTTLS:ää mikäli toisen pään sähköpostivälitysohjelma sitä tukee. Koska sähköpostien välitysohjelmille ei ole samanlaista globaalia CA-infrastructuuria kuin mitä www-varmenteille on, niin IKI:n serverit käyttävät omalla CA-varmenteella allekirjoitettua varmennetta SMTP TLS yhteyksissä. SMTP serverit on yleensä konfiguroitu niin että vastapään varmennetta ei varmisteta mitenkään, joten se ei suojaa ollenkaan aktiivisilta hyökkääjiltä jotka onnistuvat pääsemään yhteyden väliin.

Mikäli haluat konfiguroida oman sähköpostiserverisi niin että se varmistaa että IKI:tä tulevat mailit todella tulevat IKI:ltä niin voit käyttää iki:n CA-avainta:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Tässä sama avain vielä ”ymmärrettävässä” muodossa:

Certificate = 
  SubjectName = <C=FI, O=IKI ry, CN=IKI Root CA 2009>
  IssuerName = <C=FI, O=IKI ry, CN=IKI Root CA 2009>
  SerialNumber= 5347781
  SignatureAlgorithm = rsa-pkcs1-sha1
  Certificate seems to be self-signed.
      * Signature verification success.
  Validity = 
    NotBefore = 2009 Nov  4th, 17:41:27 GMT
    NotAfter  = 2020 Jan 31st, 17:41:27 GMT
  PublicKeyInfo = 
    PublicKey =
      Algorithm name (SSH) : if-modn{sign{rsa-pkcs1-md5}}
      Modulus n  (4096 bits) :
        86609988873444508966910697159496547740030665196880367333496647565098056
        15327192298536462356999853795119452120436395553486443797088310931873247
        65309553140319502313554353777868185071756265005394280038809585401966807
        67371741648156230368035051942067104511668120849314596298711353920346400
        30263613250512873331788129839255197419846897195335768280088750652809422
        03827610699276787756535601952937077556422460336001510807224375576263219
        24076336068179544116363885863562511473641638132185156245358792831518040
        61698139888979094507737851876116927406228718602381568681163722700020165
        23365967252710262440120496967852179569712486732088174199284126483859362
        71600568566820547147640799662804131275135761701935934216520801673314628
        84806161180202887318731926102037513897599552258492180111627106394704180
        55654750301371739817452779900248075391945993792078690654051005000710781
        91283696584905384166772239151269854627810992807794865206465044179440453
        75630116630247032414567510900851841536306106668825574583777809606383406
        58285296502412840026894114412084833991396851917457966444864284037272236
        89500191680467286664062780063230936549798241967143667796957936789298499
        39455690237421591946725710727325310309378743123199537832928567990989671
        89297305685194937236367513
      Exponent e (  17 bits) :
        65537
  Extensions = 
    Available = authority key identifier, subject key identifier, key 
      usage(critical), certificate policies, subject alternative name, basic 
      constraints(critical)
    SubjectAlternativeNames = 
      Following names detected = 
        EMAIL (rfc822)
      Viewing specific name types = 
        EMAIL = iki-pki@iki.fi
    KeyUsage = DigitalSignature KeyEncipherment KeyCertSign CRLSign 
        [CRITICAL]
    BasicConstraints = 
      cA         = TRUE
        [CRITICAL]
    AuthorityKeyID = 
      KeyID = 
        13:06:65:62:df:32:1f:5d:80:49:2b:14:63:ad:77:33:0d:f6:f9:bc
    SubjectKeyID = 
      KeyId = 
        13:06:65:62:df:32:1f:5d:80:49:2b:14:63:ad:77:33:0d:f6:f9:bc
    PolicyInformation = 
      PolicyIdentifier = 1.3.6.1.4.1.12798.2.2.1
      PolicyQualifiers = 
        CPSuri = http://www.iki.fi/iki/pki/IKI-root-cps.html
  Public key SHA1 hash = 
    13:06:65:62:df:32:1f:5d:80:49:2b:14:63:ad:77:33:0d:f6:f9:bc
  IKE Certificate hash = 
    b2:a8:8d:f0:4d:0b:bb:a4:95:e2:83:0f:9d:e1:ec:13:ce:da:a1:be
  Fingerprints = 
    MD5 = 30:7c:5a:14:71:82:a7:c8:71:97:77:3a:d4:57:85:a0
    SHA-1 = da:bd:e9:90:4a:70:63:3c:2d:aa:3c:0e:16:f6:97:b2:12:4d:b8:51

Huomaa että tällä hetkellä mailikoneet käyttävät yhtä ainoaa salaista avainta (eli kaikki koneet jakavat saman salaisen avaimen) ja sen lisäksi tuolla CA avaimella on allekirjoitettu ensin mail-servereitä varten yksi väli-CA ja sillä on sitten allekirjoitettu lopullinen maili-varmenne.

Koska nuo varmenteet on luotu ikica:lla ja kyseinen palvelu on tällä hetkellä poissa käytöstä niin kyseiset väli-CA ja maili-varmenne ovat molemmat jo vanhentuneet.

faq/saehkoepostinvarmenteet.1382357974.txt · Viimeksi muutettu: 2013-10-21 12:19 / kivinen