임시 메일 서버에서 SSL 인증서의 인증 메일 수신

5443 단어 postfixSSL 인증서
안녕하세요, 히로카즈입니다.
검증을 위해서 3개월 정도 SSL 증명서를 사용하고 싶어졌으므로, 임시 메일 서버를 세워 인증 메일을 받을 수 있도록 한 때의 메모입니다.

덧붙여서 여기 로부터 3개월의 테스트용 SSL 증명서를 취득할 수 있습니다.

전제


  • Public으로 끌 수 있는 도메인을 소유하고 있는 것.
  • Route53에서 도메인을 관리하고 있습니다.
  • 도메인을 관리하는 Route53의 관리 권한이 있어야 합니다.
  • 증명서 취득용의 CSR를 준비하고 있는 것.

  • 공정


  • 임시 메일 서버 설정
  • AWS 측 설정
  • 동작 확인
  • 인증 메일 취득
  • 후 정리

  • 1. 임시 메일 서버 설정



    1-1. Instance 시작



    이번에는 suz-lab_centos-core-6.5.1(ami-99107d98)을 사용했습니다.
    Postfix가 이미 설치되어있어 재미 있습니다.

    1-2. main.cf 설정



    외부 메일을 받을 수 있도록 main.cf를 다음과 같이 변경합니다.
    ※ mydomain.com을 실제 도메인으로 교체하세요.
     83 #mydomain = domain.tld
     84 mydomain = mydomain.com
     :
    114 #inet_interfaces = all
    115 inet_interfaces = all
     :
    166 #mydestination = $myhostname, localhost.$mydomain, localhost
    167 mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain
     :
    421 home_mailbox = Maildir/
    

    postfix를 다시 시작하여 포트의 Listen 상태를 확인합니다.
    # service postfix restart
    postfix を停止中:                                          [  OK  ]
    postfix を起動中:                                          [  OK  ]
    
    # netstat -luntp
    Active Internet connections (only servers)
    Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name
    :
    tcp        0      0 0.0.0.0:25                  0.0.0.0:*                   LISTEN      9109/master
    :
    

    1-3. 수신 사용자 생성



    승인 이메일 주소는 [email protected]로 보내므로 admin 사용자를 만듭니다.
    # useradd -s /sbin/nologin admin
    

    사용자가 생성되었습니다.
    # getent passwd | grep admin
    admin:x:500:500::/home/admin:/sbin/nologin
    

    2. AWS 측 설정



    2-1. A 레코드, MX 레코드 만들기



    다음과 같이 A 레코드와 MX 레코드를 만듭니다.
    IP 주소는 1-1로 시작한 Instance의 EIP를 설정하십시오.


    2-2. Security Group의 개방(동작 확인용)



    소스 IP 주소를 좁혀서 해제합니다.


    3. 동작 확인



    telnet 명령을 사용하여 이메일을 보내 도착하는지 확인합니다.
    $ telnet mydomain.com 25
    Trying xxx.xxx.xxx.xxx...
    Connected to mydomain.com.
    Escape character is '^]'.
    220 ip-xxx-xxx-xxx-xxx.mydomain.com ESMTP
    helo fnifni
    250 ip-xxx-xxx-xxx-xxx.mydomain.com
    mail from:<[email protected]>
    250 2.1.0 Ok
    rcpt to:<[email protected]>
    250 2.1.5 Ok
    data
    354 End data with <CR><LF>.<CR><LF>
    Subject: smpt test
    Hi! This is test.
    .
    250 2.0.0 Ok: queued as 874C9103B
    quit
    221 2.0.0 Bye
    Connection closed by foreign host.
    

    발신 메일은 admin 사용자의 부하에 도착합니다.
    # pwd
    /home/admin/Maildir/new
    
    # ll
    合計 4
    -rw------- 1 admin admin 312  1月 17 13:28 2016 1453004889.Vca41I6021aM742403.ip-xxx-xxx-xxx-xxx
    
    # cat 1453004889.Vca41I6021aM742403.ip-xxx-xxx-xxx-xxx
    Return-Path: <[email protected]>
    X-Original-To: [email protected]
    Delivered-To: [email protected]
    Received: from fnifni (unknown [xxx.xxx.xxx.xxx])
        by ip-xxx-xxx-xxx-xxx.mydomain.com (Postfix) with SMTP id 874C9103B
        for <[email protected]>; Sun, 17 Jan 2016 13:27:46 +0900 (JST)
    Subject: smpt test
    
    Hi! This is test.
    

    4. 인증 메일 취득



    4-1. Security Group의 개방(승인 메일 취득용)



    포트 25를 일시적으로 해제합니다.


    이번은 여기 로부터 SSL 증명서를 취득했습니다.

    CSR을 설정하고 메일 대상에 [email protected]를 지정하면,
    메일이 도착했습니다.
    # ll
    合計 12
    -rw------- 1 admin admin  312  1月 17 13:28 2016 1453004889.Vca41I6021aM742403.ip-xxx-xxx-xxx-xxx
    -rw------- 1 admin admin 7330  1月 17 14:57 2016 1453010242.Vca41I6021dM133810.ip-xxx-xxx-xxx-xxx
    

    내용을 보면 다음 부분이있었습니다.
    # cat 1453010242.Vca41I6021dM133810.ip-xxx-xxx-xxx-xxx
    Return-Path: <[email protected]>
    X-Original-To: [email protected]
    Delivered-To: [email protected]
    :
    To permit the issuance of the certificate please browse to
    https://secure.comodo.net/products/EnterDCVCode?orderNumber=xxxxxxxx
    and enter the following "validation code":
    
            hogehoge...
    :
    

    승인 URL 주소에 액세스하고 유효성 검증 코드를 입력하면 승인 완료입니다.

    5. 후 정리



    다음 설정을 삭제하고 완료되었습니다.
  • 열린 보안 그룹 설정
  • 추가한 A 레코드, MX 레코드
  • 임시 Instance terminate

  • 마지막으로



    이 방법은 인증 방식이 メール認証 만(주로 염가 SSL)로, SSL 증명서를 취득 대상 도메인으로 메일 서버를 보유하고 있지 않는 경우에도 사용할 수 있는 방법입니다.
    저렴한 SSL은 관리, 유지 보수 및 지원의 관점에서 かなりの割り切り가 필요하며 상용 사이트에서 저렴한 SSL을 얻을 때는 신뢰할 수있는 곳에서 구입하는 것이 좋습니다.

    이것으로 작업이 완료되었습니다.
    수고하셨습니다.

    좋은 웹페이지 즐겨찾기