안녕하세요, 히로카즈입니다.
검증을 위해서 3개월 정도 SSL 증명서를 사용하고 싶어졌으므로, 임시 메일 서버를 세워 인증 메일을 받을 수 있도록 한 때의 메모입니다.

덧붙여서 여기 로부터 3개월의 테스트용 SSL 증명서를 취득할 수 있습니다.

전제

Public으로 끌 수 있는 도메인을 소유하고 있는 것.

Route53에서 도메인을 관리하고 있습니다.

도메인을 관리하는 Route53의 관리 권한이 있어야 합니다.

증명서 취득용의 CSR를 준비하고 있는 것.

공정

임시 메일 서버 설정

AWS 측 설정

동작 확인

인증 메일 취득

후 정리

1. 임시 메일 서버 설정

1-1. Instance 시작

이번에는 suz-lab_centos-core-6.5.1(ami-99107d98)을 사용했습니다.
Postfix가 이미 설치되어있어 재미 있습니다.

1-2. main.cf 설정

외부 메일을 받을 수 있도록 main.cf를 다음과 같이 변경합니다.
※ mydomain.com을 실제 도메인으로 교체하세요.

 83 #mydomain = domain.tld
 84 mydomain = mydomain.com
 :
114 #inet_interfaces = all
115 inet_interfaces = all
 :
166 #mydestination = $myhostname, localhost.$mydomain, localhost
167 mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain
 :
421 home_mailbox = Maildir/

postfix를 다시 시작하여 포트의 Listen 상태를 확인합니다.

# service postfix restart
postfix を停止中:                                          [  OK  ]
postfix を起動中:                                          [  OK  ]

# netstat -luntp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name
:
tcp        0      0 0.0.0.0:25                  0.0.0.0:*                   LISTEN      9109/master
:

1-3. 수신 사용자 생성

승인 이메일 주소는 [email protected]로 보내므로 admin 사용자를 만듭니다.

# useradd -s /sbin/nologin admin

사용자가 생성되었습니다.

# getent passwd | grep admin
admin:x:500:500::/home/admin:/sbin/nologin

2. AWS 측 설정

2-1. A 레코드, MX 레코드 만들기

다음과 같이 A 레코드와 MX 레코드를 만듭니다.
IP 주소는 1-1로 시작한 Instance의 EIP를 설정하십시오.

2-2. Security Group의 개방(동작 확인용)

소스 IP 주소를 좁혀서 해제합니다.

3. 동작 확인

telnet 명령을 사용하여 이메일을 보내 도착하는지 확인합니다.

$ telnet mydomain.com 25
Trying xxx.xxx.xxx.xxx...
Connected to mydomain.com.
Escape character is '^]'.
220 ip-xxx-xxx-xxx-xxx.mydomain.com ESMTP
helo fnifni
250 ip-xxx-xxx-xxx-xxx.mydomain.com
mail from:<[email protected]>
250 2.1.0 Ok
rcpt to:<[email protected]>
250 2.1.5 Ok
data
354 End data with <CR><LF>.<CR><LF>
Subject: smpt test
Hi! This is test.
.
250 2.0.0 Ok: queued as 874C9103B
quit
221 2.0.0 Bye
Connection closed by foreign host.

발신 메일은 admin 사용자의 부하에 도착합니다.

# pwd
/home/admin/Maildir/new

# ll
合計 4
-rw------- 1 admin admin 312  1月 17 13:28 2016 1453004889.Vca41I6021aM742403.ip-xxx-xxx-xxx-xxx

# cat 1453004889.Vca41I6021aM742403.ip-xxx-xxx-xxx-xxx
Return-Path: <[email protected]>
X-Original-To: [email protected]
Delivered-To: [email protected]
Received: from fnifni (unknown [xxx.xxx.xxx.xxx])
    by ip-xxx-xxx-xxx-xxx.mydomain.com (Postfix) with SMTP id 874C9103B
    for <[email protected]>; Sun, 17 Jan 2016 13:27:46 +0900 (JST)
Subject: smpt test

Hi! This is test.

4. 인증 메일 취득

4-1. Security Group의 개방(승인 메일 취득용)

포트 25를 일시적으로 해제합니다.


이번은 여기 로부터 SSL 증명서를 취득했습니다.

CSR을 설정하고 메일 대상에 [email protected]를 지정하면,
메일이 도착했습니다.

# ll
合計 12
-rw------- 1 admin admin  312  1月 17 13:28 2016 1453004889.Vca41I6021aM742403.ip-xxx-xxx-xxx-xxx
-rw------- 1 admin admin 7330  1月 17 14:57 2016 1453010242.Vca41I6021dM133810.ip-xxx-xxx-xxx-xxx

내용을 보면 다음 부분이있었습니다.

# cat 1453010242.Vca41I6021dM133810.ip-xxx-xxx-xxx-xxx
Return-Path: <[email protected]>
X-Original-To: [email protected]
Delivered-To: [email protected]
:
To permit the issuance of the certificate please browse to
https://secure.comodo.net/products/EnterDCVCode?orderNumber=xxxxxxxx
and enter the following "validation code":

        hogehoge...
:

승인 URL 주소에 액세스하고 유효성 검증 코드를 입력하면 승인 완료입니다.

5. 후 정리

다음 설정을 삭제하고 완료되었습니다.

열린 보안 그룹 설정

추가한 A 레코드, MX 레코드

임시 Instance terminate

마지막으로

이 방법은 인증 방식이 メール認証 만(주로 염가 SSL)로, SSL 증명서를 취득 대상 도메인으로 메일 서버를 보유하고 있지 않는 경우에도 사용할 수 있는 방법입니다.
저렴한 SSL은 관리, 유지 보수 및 지원의 관점에서 かなりの割り切り가 필요하며 상용 사이트에서 저렴한 SSL을 얻을 때는 신뢰할 수있는 곳에서 구입하는 것이 좋습니다.

이것으로 작업이 완료되었습니다.
수고하셨습니다.