2012.07.20
StartSSLで取得した証明書を Sendmail のクライアント証明書に設定("confCLIENT_CERT")して STARTTLS で認証できるようになったかと思いきや、
Jul 19 16:53:10 server sm-mta[7174]: STARTTLS=server, relay=hoge.example.com [x.x.x.x], version=TLSv1/SSLv3, verify=FAIL, cipher=DHE-RSA-AES256-SHA, bits=256/256
というログが出て認証に失敗した。

理由が分からなかったのでサーバー側で sendmail.cf の
O LogLevel=9
を14に変更して sendmail を再起動。

再度メールを送ったところ今度は
Jul 19 16:55:09 server sm-mta[7174]: STARTTLS: TLS cert verify: depth=0 /description=xxxxxxxxxxx/C=JP/CN=hoge.example.com/emailAddress=mail@example.com, state=0, reason=unsupported certificate purpose
というログが残った。

ちょっとググってみるとどうやら証明書の使い道が適当じゃないのが原因のようだ。
$ openssl x509 -noout -purpose -in hoge.example.com.pem
Certificate purposes:
SSL client : No
SSL client CA : No
SSL server : Yes
SSL server CA : No
Netscape SSL server : Yes
Netscape SSL server CA : No
S/MIME signing : No
S/MIME signing CA : No
S/MIME encryption : No
S/MIME encryption CA : No
CRL signing : No
CRL signing CA : No
Any Purpose : Yes
Any Purpose CA : Yes
OCSP helper : Yes
OCSP helper CA : No
の "SSL client" のところが Yes になってないとこの目的には使えないらしい。

どうも https://www.startssl.com/?app=40 を見る限り、有償だと使えそう("Server-Client Authentication" がそれじゃないかな)だなぁ。とりあえず問い合わせてみた。

(追記:contact formから問い合わせたらすぐに返事がきた。結論はやっぱりクライアント証明書には有償の Class2/3 certificate を使え、ということだった。)
この記事へのコメント

この記事へのトラックバック
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]

認証コード: [必須入力] (画像の中の文字を半角で入力してください。)



※ブログオーナーが承認したコメントのみ表示されます。
Rebuild at 2018/01/24 16:30
×

この広告は180日以上新しい記事の投稿がないブログに表示されております。