Käyttäjän työkalut
faq:saehkoepostinvarmenteet
Erot
Tämä näyttää erot valitun ja nykyisen version kesken tästä sivusta.
| Seuraava revisio | Edellinen revisio | ||
|
faq:saehkoepostinvarmenteet [2013-10-21 12:19] kivinen luotu |
faq:saehkoepostinvarmenteet [2018-09-27 12:30] (nykyinen) kivinen |
||
|---|---|---|---|
| Rivi 1: | Rivi 1: | ||
| + | ====== Sähköpostiserverien käyttämistä varmenteista ====== | ||
| + | |||
| + | IKI:n sähköpostiserverit käyttävät mailien lähettämiseen ja vastaanottoon STARTTLS:ää mikäli toisen pään sähköpostivälitysohjelma sitä tukee. Koska sähköpostien välitysohjelmille ei ole samanlaista globaalia CA-infrastructuuria kuin mitä www-varmenteille on, niin IKI:n serverit käyttävät omalla CA-varmenteella allekirjoitettua varmennetta SMTP TLS yhteyksissä. SMTP serverit on yleensä konfiguroitu niin että vastapään varmennetta ei varmisteta mitenkään, joten se ei suojaa ollenkaan aktiivisilta hyökkääjiltä jotka onnistuvat pääsemään yhteyden väliin. | ||
| + | |||
| + | Mikäli haluat konfiguroida oman sähköpostiserverisi niin että se varmistaa että IKI:tä tulevat mailit todella tulevat IKI:ltä niin voit käyttää iki:n CA-avainta: | ||
| + | |||
| + | <code> | ||
| + | -----BEGIN X509 CERTIFICATE----- | ||
| + | MIIDITCCAgmgAwIBAgICJxAwDQYJKoZIhvcNAQELBQAwQTELMAkGA1UEBhMCRkkx | ||
| + | DDAKBgNVBAoTA0lLSTENMAsGA1UECxMETWFpbDEVMBMGA1UEAxMMTWFpbCAyMDE4 | ||
| + | IENBMB4XDTE4MDEwMTAwMDAwMFoXDTI1MTIzMTIzNTk1OVowQTELMAkGA1UEBhMC | ||
| + | RkkxDDAKBgNVBAoTA0lLSTENMAsGA1UECxMETWFpbDEVMBMGA1UEAxMMTWFpbCAy | ||
| + | MDE4IENBMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA4L6ObmlRVSUj | ||
| + | DbrkeNax+ZgSf1iSG9NKPwSksj1kAwc59RwedsXt8gsXU4K5DbWyHzGeL0cNZNdm | ||
| + | dXyANMnFRALMXR4c3sDOXg98CXoO1CO+7HFjKtpOh05DCippL1C1gsnDe/zBqByZ | ||
| + | SX1MHJCgTSzU7PkGA5oaerkIwXESsolL8K6nMxiS1toe1Yky4sss8ZPNcgkMvBqQ | ||
| + | xhmxbJesbV97iBAHO2aj/tVXtcaQThdgxgY7fx/J6yFPo2gLIJWoVJbFhnaW/LkZ | ||
| + | AdMN5e2kKXkqbAo2hcyU+2laVT43XYsBVHpp7ZWJTwWnr73q5V6W97Cc47pNCopG | ||
| + | yUehXXne7QIDAQABoyMwITALBgNVHQ8EBAMCAoQwEgYDVR0TAQH/BAgwBgEB/wIB | ||
| + | ATANBgkqhkiG9w0BAQsFAAOCAQEAMOdf5ZNlih0cje4d9E9KJB5as9bDENIbQgzN | ||
| + | eCgIuA+B9XuGmP1aL6blOqBdx1nvL2HuWfLoX6238CsljMAr5LwFDHDUtmTpt/qC | ||
| + | BiTbNUd4cpAeDgdWwlDrl+DDyJq5kr4pLJU+eQrtJyQeRaNsFLRdiJC8RkTH9RSi | ||
| + | dXnCExHyrl3iqoS3IiicDvnXCgkrrhYpdvZg/foWKYaH+KbP0f7ySnx5gTXcA14j | ||
| + | 4Q0iOjngxtUsZxFXMsaR7R7La4vj489z84Uc90N/bvBF8uGs+zQ9de4R18TJ0Tup | ||
| + | 4lj2KYUYerbh++X0Gcc0kLKDFbtCPjI/ixVgVuAW/eNnnQ8fSg== | ||
| + | -----END X509 CERTIFICATE----- | ||
| + | </code> | ||
| + | |||
| + | Tässä sama avain vielä "ymmärrettävässä" muodossa: | ||
| + | |||
| + | <code> | ||
| + | Certificate = | ||
| + | SubjectName = <C=FI, O=IKI, OU=Mail, CN=Mail 2018 CA> | ||
| + | IssuerName = <C=FI, O=IKI, OU=Mail, CN=Mail 2018 CA> | ||
| + | SerialNumber= 10000 | ||
| + | SignatureAlgorithm = rsa-pkcs1-sha256 | ||
| + | Certificate seems to be self-signed. | ||
| + | * Signature verification success. | ||
| + | Validity = | ||
| + | NotBefore = 2018 Jan 1st, 00:00:00 GMT | ||
| + | NotAfter = 2025 Dec 31st, 23:59:59 GMT | ||
| + | PublicKeyInfo = | ||
| + | PublicKey = | ||
| + | Algorithm name (SSH) : if-modn{sign{rsa-pkcs1-md5}} | ||
| + | Modulus n (2048 bits) : | ||
| + | 28371347161743193094518720617772706523426815530185116582353026105107716 | ||
| + | 38328331232006126457624143952749066696013032682718430134537350895869434 | ||
| + | 93499829813155909640592334780385864033711659456080585675862442239414451 | ||
| + | 48739774381764798385101053377246772178636113852251956818423399587105003 | ||
| + | 46979768285258246011518782479166165270843540329685329742506811988096774 | ||
| + | 69397301194042129546947948038321349876174256111883935016398036602630345 | ||
| + | 21707628652724468485584136206003808582929212311098300638786414520869230 | ||
| + | 77137368290687864666197291415520932275341194474437478929509853333558601 | ||
| + | 8744807512990328528219694975038319157691333336813 | ||
| + | Exponent e ( 17 bits) : | ||
| + | 65537 | ||
| + | Extensions = | ||
| + | Available = key usage, basic constraints(critical) | ||
| + | KeyUsage = DigitalSignature KeyCertSign | ||
| + | BasicConstraints = | ||
| + | PathLength = 1 | ||
| + | cA = true | ||
| + | [CRITICAL] | ||
| + | Public key SHA1 hash = | ||
| + | 0d:eb:23:7d:d4:a5:0f:16:68:cb:19:fb:e3:9a:a5:f9:f8:df:3d:ea | ||
| + | IKE Certificate hash = | ||
| + | 38:8c:56:d9:cd:c1:3d:75:5c:22:c0:4b:dc:18:47:61:ce:03:99:57 | ||
| + | Fingerprints = | ||
| + | MD5 = 7f:59:52:5e:ca:74:44:5e:cd:a0:db:39:28:48:07:22 | ||
| + | SHA-1 = 9b:bd:9b:70:78:28:f0:00:03:a8:b0:b0:5d:61:63:fa:c6:10:d8:61 | ||
| + | </code> | ||
| + | |||
| + | Tällä hetkellä (joulukuu 2013) jokaisella mailikoneella on erillinen salainen avain ja nuo kaikki avaimet on allekirjoitettu tuolla CA avaimella (jonka varmenne tehtiin uudestaan tammikuussa 2018 käyttämään sha2:sta sha1:sen sijaan). Aikaisemmin käytettiin IKI CA avainta, mutta kun iki-ca kone on poissa käytöstä niin nuo sähköpostikoneiden alivarmenteet olivat vanhentuneet ja niiden päivittäminen ei onnistunut, niin siirryimme käyttämään erillistä CA:ta. | ||
Sivutyökalut
Jollei muuta ole mainittu, niin sisältö tässä wikissä on lisensoitu seuraavalla lisenssillä: CC Attribution-Noncommercial-Share Alike 4.0 International
