HomeServer6 の編集

2010年12月の年末更新時期には特に大きな変更（ハードウエア更新、OS更新）は行わないことにしたが、サーバー証明書が失効したので久しぶりに自己認証式（なんちゃって式？）のサーバー証明書、懸案であった Dovecot のパスワード更新などマイナーなメンテナンスを実施したので、その内容を記録しておく。

#contents();
* サーバー証明書 [#v32de84c]
** 課題 [#m0f7a6df]
- 有償公式証明書が失効したので、代替の仕掛けを構築する必要があった。
- まず [[Ubuntu Sever Edition を使ったサーバ構築のメモ:http://www.kazutoyo.com/ubuntu/]] を参考に なんちゃって証明書を作成してみた。 しかし、やはりブラウザーの赤い警告画面がいちいち出るのがウザい。
- 従来利用していたサービスは、個人用だが １サーバー（URL）で年間 7、800円、３年一括でも 年間 6、500円程度のコストがかかる。 あくまで個人的に利用するサーバーのために、この費用を払うのはどうなのと思い なんちゃって証明書を考えたのだが、やはりいちいち赤い警告画面が出るのはウザいので、改めて有償サービスを検討することにしたもの。

** 新サービス決定 [#e22952d5]

ー 今回検討したのは [[Namechep:http://www.namecheap.com/learn/other-services/ssl-certificates.asp?from=index&link=learnmore]] ---- 1 サーバー固定で 19$／2年
-- アカウントを作成した
--- user = wikihmuna
--- pass = frex7xx5

ー オーダー完了 （20101227）

Date :	Saturday, December 25, 2010
 Transaction ID :	3169510769850943:XXGM:
 Order ID :	122.249.122.231-WIKIHMUNA-NC-511918-04836A2304-76622.21
 Charged Amount:	$19.9
 Final Amount :	$19.9

- （クリスマスの日だったが）すぐにメールで購入確認と、[[設定手順:https://knowledge.rapidssl.com/support/ssl-certificate-support/index?page=content&actp=CROSSLINK&id=so6411]] の説明が送られてきた。
-- Ubuntu の SSL は APache2 + openssl （mod_ssl ではない） で設定した。

ー 更新オーダー完了 （2012-11-27）
- 4 years ( 2012-12 --> 2016-11 )
- $37.96/4 years ( $9.49/year )
-&ref(namecheap-order7502641.pdf);

*** 申請データの作成 （２０１２年１２月更新時） [#s7e4372f]

- Step 1: Generate Private Key
-- /etc/ssl/official2 の下に作成した ）
-- パスフレーズ ＝ nanamochahiko

root@mythen:/etc/ssl/official2# openssl genrsa -des3 -out wiki.hmuna.com.privatekey 2048
 Generating RSA private key, 2048 bit long modulus
 ..........+++
 .............................................+++
 e is 65537 (0x10001)
 Enter pass phrase for wiki.hmuna.com.privatekey: 
 Verifying - Enter pass phrase for wiki.hmuna.com.privatekey:

root@mythen:/etc/ssl/official2# ls -l
 合計 4
 -rw-r--r-- 1 root root 1751 12月 11 23:58 wiki.hmuna.com.privatekey

root@mythen:/etc/ssl/official2# cat wiki.hmuna.com.privatekey 
 -----BEGIN RSA PRIVATE KEY-----
 Proc-Type: 4,ENCRYPTED
 DEK-Info: DES-EDE3-CBC,FE967CF70E2BECD5
 
 1PbN5HRpFwGuGzQ8Uh5Wim9M2dO5SHAy3YEIgGC1PJnM2khdDuo6YsV3GMtSAOLq
 WmpN+tWgrljx3zoKJUOIxkjo4YmnwsX6S1BKhw7RAisxBDMbRDVzjphiJx8O+8ik
 alxudyYbcBhd0CAsDJYSxxWIbq8XSH1BZqM+1u0otDzM0o2MWJOgSrvzhgi0tAG2
 44E+dvFT0SjY3LIxMAN+T5VkaKaHQfKybRGKy19Q1gV1DQkY8d7+AngCS6L6xZZO
 a/uS0WjRhv35jNrOmDsXH2/8bjsD/XxR4Eb222zaYS2JHE3kHzX4oK09XVfLKuvC
 yl/XsHKKEnaAY6XKv6+d+5ARcuMQX4fJHGKwjkTIvLoMpnijVYS+HC+tk75GzCzu
 8D55Ws0cvqRvQlzPzoP98kfWwUv4/Qj4+aBSvExNaSNMDQAnFtoYBrTLnys2VA45
 GhzejPMr2dIJRepNHVuKhNOg+jRu8ov6ZLIJkZRlXcsxHAeiZO0CenP78HW1QRQr
 TPJIwxVO6xzLTttKLbqC9C8s75vo07k/FM6rwTVTsmJXCn0utMO4MOEgaDAIXk2m
 85wjdv7JyOXsCUusuSxREWl8mgjLukQVea3vylbvtTFUV/ZvI8IJrVA+NYF1GqHp
 YT7Qv5w0ALCb2Rcm4AJQCX+JArqFN1gxE1H9OaxaF8YxdTsf2acftJrGhObyY35D
 2D5sH0uQ21VkS1tkZ9Ad68Os6NWymnmSgTYLfRPB7778qBXNOAkMURVDGNeEnaR8
 E6BohuUhHUs4OQRcBlhfzHqyyK/9+JdFQ5ziGyCaVt4uuecEI+nmLZ7JTyAzhq0r
 bo97suQi3jRYXsT0qMubCGS9Ic28y05BvT16SVhbqYongTXJVHLVw2qyYwtn5rcx
 ntMwfnGJ8Lce4+ohkRksk70EBOvO4loBPypzirsM3Ht17pwEH1rHEFuoEqqgAJhb
 kZug3FcZCusoOV1FmzzbjEVKNm2EB7xfIByN/RAQxNlDWD0js8ClSWIiD0wC60Qr
 Nk+0Y+0EUOyxNB9lhnkm/4Y57Hyjn2DAjHblnyz/zr9zr+ZQrbciNU/VL2BCgJK3
 w6/OKF/8f/xyh2yVgvySjYtNFVyevAKZbbdDkV2/cXKRRmbLuSY2ity4TtqptvMQ
 lbRLlcTvZqIEv068UfCDCwDyiTANuHKBLMVN83Xi4n0e9WeG5yjocrZQnnJD9HXE
 MAWLwRrZ5uvYn4up4vRgo2Fnd0vnZK6OgOJq1/Tx5LN/yZI6VMkDjTJUNqIgG7Hk
 5EYUyRLIC3R0VSwbY6FTQuvpJHGAJhwhId9y6nBlCrF7z5imMdwmduZlsGcwa1RA
 xzsn2QNwnRDkk/K+L8VwscwKtZnRnU4xbOxfSY7wgnjFdek0imkEYB3IJezlH8th
 5dbevzw9jceS4zpBzgU/h4ivhsX40Uof1n8PT3ie5NcigpLGbDYk3d9YIMLiI5jJ
 9I2e4l+rYK3j7m74TbWU/GDgI9jiHQVlIUsEX2e2Qsya0bt6cu3svTNfVOy7Ef0F
 dYPENkIo4Q9SQQUHYlRRhT5dOhvhj/PhbQvprN7d6QCqGsMR3WwbURxVVPUCf49c
 -----END RSA PRIVATE KEY-----

-- &ref(wiki.hmuna.com.privatekey);

- Step 2: Generate the CSR

root@mythen:/etc/ssl/official2# openssl req -new -key wiki.hmuna.com.privatekey -out wikihmunaCSR.csr
 
 Enter pass phrase for wiki.hmuna.com.privatekey:  <---- nanamochahiko
 
 You are about to be asked to enter information that will be incorporated
 into your certificate request.
 What you are about to enter is what is called a Distinguished Name or a DN.
 There are quite a few fields but you can leave some blank
 For some fields there will be a default value,
 If you enter '.', the field will be left blank.
 -----
 Country Name (2 letter code) [AU]:JP
 State or Province Name (full name) [Some-State]:Kanagawa
 Locality Name (eg, city) []:Yokohama
 Organization Name (eg, company) [Internet Widgits Pty Ltd]:IT Admin
 Organizational Unit Name (eg, section) []:IT
 Common Name (e.g. server FQDN or YOUR name) []:wiki.hmuna.com
 Email Address []:
 
 Please enter the following 'extra' attributes
 to be sent with your certificate request
 A challenge password []:
 An optional company name []:

-- &ref(wikihmunaCSR.csr);

- Step 3: Approved SSL certificate + Intermediate certificate

-- &ref(wikihmunaSSLCertificateFile2.pem);
-- &ref(GeoTrust_intermediate_Certificate.pem);

*** 申請データの作成 [#fcddbd5d]

- Private Key を作成 （　/etc/ssl/official の下に作成した ）

root@spirit:/etc/ssl/official# openssl genrsa -out wikihmunaPrivateKey.key 2048
 Generating RSA private key, 2048 bit long modulus
 ................................................................+++
 .....+++
 e is 65537 (0x10001)
 root@spirit:/etc/ssl/official# ls -l
 合計 4
 -rw-r--r-- 1 root root 1675 2010-12-26 11:42 wikihmunaPrivateKey.key
 root@spirit:/etc/ssl/official# date

-- &ref(wikihmunaPrivateKey.key);

- CSR (Certificate Signing Request) の作成
ーー common name はサーバーのフルパスでないといけないので、wiki.hmuna.com とした 
-- email address は入れるなというガイドなので、none とした。
-- その他は 設定済みのデフォルトの値が参照された。

root@spirit:/etc/ssl/official# openssl req -new -key wikihmunaPrivateKey.key -out wikihmunaPrivateKey.csr
 You are about to be asked to enter information that will be incorporated
 into your certificate request.
 What you are about to enter is what is called a Distinguished Name or a DN.
 There are quite a few fields but you can leave some blank
 For some fields there will be a default value,
 If you enter '.', the field will be left blank.
 -----
 Country Name (2 letter code) [JP]:
 State or Province Name (full name) [Kanagawa]:
 Locality Name (eg, city) [Yokohama]:
 Organization Name (eg, company) [IT admin]:
 Organizational Unit Name (eg, section) [IT]:
 Common Name (eg, YOUR name) [hmuna.com]:wiki.hmuna.com
 Email Address [server-admin@hmuna.com]:none
 
 Please enter the following 'extra' attributes
 to be sent with your certificate request
 A challenge password []:
 An optional company name []:
 
 root@spirit:/etc/ssl/official# ls -l
 合計 8
 -rw-r--r-- 1 root root 1041 2010-12-26 11:48 wikihmunaPrivateKey.csr
 -rw-r--r-- 1 root root 1675 2010-12-26 11:42 wikihmunaPrivateKey.key

-- &ref(wikihmunaPrivateKey.csr);

*** 承認プロセス [#ld7b16f6]
- 生成した csr を申請用の Web に張り付けて、サーバー管理者の e-mail アドレス（ postmaster@hmuna.com ）を指定。

- &ref(screen0.jpg);

- postmaster@hmuna.com メールがエリアス指定リレーで server-admin@hmuna.com あてにすぐ届いた。

- &ref(screen1.jpg);

- 届いたメールに記載された URL をたどって証明書の発行を認証する。 実際には Rapid SSL も Geotrust が承認していることがわかった。 これなら、これまでの証明書と何ら変更はなく、単純にコストを大幅に抑えることができたということ。 目出度し目出度しだな。

- &ref(screen2.jpg);

*** 発行 [#n545ddc5]

ORDER COMPLETE
 
 Dear hisao munakata,
 
 Congratulations! GeoTrust has approved your request for a RapidSSL certificate. Your certificate is included at the end   of this email.
 
 INSTALLATION INSTRUCTIONS 
 
 1. INSTALL CERTIFICATE:
 Install the X.509 version of your certificate included at the end of this e-mail.
 For installation instructions for your SSL Certificate, go to:
 https://knowledge.rapidssl.com/support/ssl-certificate-support/index?page=content&id=SO16226
 
 2. INTERMEDIATE CERTIFICATE ADVISORY:
 You MUST install the GeoTrust intermediate Certificate included at end of this e-mail on your server together with your  Certificate or it may not operate correctly
 
 You can also get your GeoTrust intermediate Certificates at:
 https://knowledge.geotrust.com/support/knowledge-base/index?page=content&id=AR1422
 
 3. CHECK INSTALLATION:
 Ensure you have installed your certificate correctly at:
 https://knowledge.rapidssl.com/support/ssl-certificate-support/index?page=content&id=SO9556&actp=LIST&viewlocale=en_US
 
 Visit the GeoTrust Support Web site, where you will find a range of support tools to help you:
 
 http://www.rapidssl.com/support
 
 
 Sincerely,
 
 RapidSSL Customer Support
 http://www.rapidssl.com/support
 Hours of Operation: Mon - Fri 09:00 - 17:00 (EST)
 Email:     support@rapidssl.com
 Phone:     1-720-359-1590
 Live Chat: https://knowledge.rapidssl.com/support/ssl-certificate-support/index.html
 
 (snip)
 ________________________________________________________________________
 
 Web Server CERTIFICATE
 -----------------
 
 -----BEGIN CERTIFICATE-----
 MIIEyjCCA7KgAwIBAgICJtUwDQYJKoZIhvcNAQEFBQAwPDELMAkGA1UEBhMCVVMx
 FzAVBgNVBAoTDkdlb1RydXN0LCBJbmMuMRQwEgYDVQQDEwtSYXBpZFNTTCBDQTAe
 Fw0xMDEyMjQwODEwNDNaFw0xMjEyMjYwNzU5MzdaMIHjMSkwJwYDVQQFEyBHTGM1
 cnp4Z015bE9RTE1iYXBBUXhHNGF5aUtZY1k3SDELMAkGA1UEBhMCSlAxFzAVBgNV
 BAoTDndpa2kuaG11bmEuY29tMRMwEQYDVQQLEwpHVDc4MDc1MzA2MTEwLwYDVQQL
 EyhTZWUgd3d3LnJhcGlkc3NsLmNvbS9yZXNvdXJjZXMvY3BzIChjKTEwMS8wLQYD
 VQQLEyZEb21haW4gQ29udHJvbCBWYWxpZGF0ZWQgLSBSYXBpZFNTTChSKTEXMBUG
 A1UEAxMOd2lraS5obXVuYS5jb20wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEK
 AoIBAQCvojexdkMNelwHFnIz610dlpEstRmfqK0kCve4txIE/wcf4prYrayvVNxh
 ZfIlCaqKNCCJQHtqg9FK/htreGoDMO+hKOM8oZb++HodR+QILZsuej/ETxH0NHQP
 nxTXY6X2IE3te263H7RHtWB1drOI3KuFfG1eFT5Pw0bDIKXmzXvuPc6h7BTaJcVi
 OoPs7qteNL3mPP3eofMzF/CY1rUoJs2GNZUNhp1bEUvPcvF5gWXAAg9owvgGARay
 vY484nGkCnO6/wHpJ9X0rP0Bs1FqOS+eVFXIYKCb49iLTotmY/927e0eZ6iTxmo9
 92HH3CMHoKwR0j+C+csPxnV4JINtAgMBAAGjggEsMIIBKDAfBgNVHSMEGDAWgBRr
 aT1qGEJK3Y8CZTn9NSSGeJEWMDAOBgNVHQ8BAf8EBAMCBaAwHQYDVR0lBBYwFAYI
 KwYBBQUHAwEGCCsGAQUFBwMCMBkGA1UdEQQSMBCCDndpa2kuaG11bmEuY29tMEMG
 A1UdHwQ8MDowOKA2oDSGMmh0dHA6Ly9yYXBpZHNzbC1jcmwuZ2VvdHJ1c3QuY29t
 L2NybHMvcmFwaWRzc2wuY3JsMB0GA1UdDgQWBBTwME01TrU41ve+HG6GyI/yGBHO
 jDAMBgNVHRMBAf8EAjAAMEkGCCsGAQUFBwEBBD0wOzA5BggrBgEFBQcwAoYtaHR0
 cDovL3JhcGlkc3NsLWFpYS5nZW90cnVzdC5jb20vcmFwaWRzc2wuY3J0MA0GCSqG
 SIb3DQEBBQUAA4IBAQBCsWXCW+Y3Y0r6ULG5DH9W2uXIiz7LeuK3zDpCf09pNhyX
 bDiOL+r9slt9KQDXof/dlRXUg6GQtG2c1cLiBghmMakwPylB+mTn7nEO9/dOrjri
 XxhAP6TNJD7Js28tgi22M8f+idotxfGlNqtdglDzI/fHk+EZScPDo92+Gv7jBtSM
 t0lbT3L9gjraDS1CK3Kr7+1Ralfp7yTXKiOxgsw8E3WFfpd7ya4F+KPQiqFfGYy7
 3nSsC5CJOhQzENucdyvHTtPP4RPPVADBuWkHVYJ2zuW2s/rPIEOWx4YOkfGA1iOQ
 O2QmKLyoskqm5J5emWTYXdHVnu3lIqUKwhXjEK3e
 -----END CERTIFICATE-----
 
 INTERMEDIATE CA:  
 ---------------------------------------
 
 -----BEGIN CERTIFICATE-----
 MIID1TCCAr2gAwIBAgIDAjbRMA0GCSqGSIb3DQEBBQUAMEIxCzAJBgNVBAYTAlVT
 MRYwFAYDVQQKEw1HZW9UcnVzdCBJbmMuMRswGQYDVQQDExJHZW9UcnVzdCBHbG9i
 YWwgQ0EwHhcNMTAwMjE5MjI0NTA1WhcNMjAwMjE4MjI0NTA1WjA8MQswCQYDVQQG
 EwJVUzEXMBUGA1UEChMOR2VvVHJ1c3QsIEluYy4xFDASBgNVBAMTC1JhcGlkU1NM
 IENBMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAx3H4Vsce2cy1rfa0
 l6P7oeYLUF9QqjraD/w9KSRDxhApwfxVQHLuverfn7ZB9EhLyG7+T1cSi1v6kt1e
 6K3z8Buxe037z/3R5fjj3Of1c3/fAUnPjFbBvTfjW761T4uL8NpPx+PdVUdp3/Jb
 ewdPPeWsIcHIHXro5/YPoar1b96oZU8QiZwD84l6pV4BcjPtqelaHnnzh8jfyMX8
 N8iamte4dsywPuf95lTq319SQXhZV63xEtZ/vNWfcNMFbPqjfWdY3SZiHTGSDHl5
 HI7PynvBZq+odEj7joLCniyZXHstXZu8W1eefDp6E63yoxhbK1kPzVw662gzxigd
 gtFQiwIDAQABo4HZMIHWMA4GA1UdDwEB/wQEAwIBBjAdBgNVHQ4EFgQUa2k9ahhC
 St2PAmU5/TUkhniRFjAwHwYDVR0jBBgwFoAUwHqYaI2J+6sFZAwRfap9ZbjKzE4w
 EgYDVR0TAQH/BAgwBgEB/wIBADA6BgNVHR8EMzAxMC+gLaArhilodHRwOi8vY3Js
 Lmdlb3RydXN0LmNvbS9jcmxzL2d0Z2xvYmFsLmNybDA0BggrBgEFBQcBAQQoMCYw
 JAYIKwYBBQUHMAGGGGh0dHA6Ly9vY3NwLmdlb3RydXN0LmNvbTANBgkqhkiG9w0B
 AQUFAAOCAQEAq7y8Cl0YlOPBscOoTFXWvrSY8e48HM3P8yQkXJYDJ1j8Nq6iL4/x
 /torAsMzvcjdSCIrYA+lAxD9d/jQ7ZZnT/3qRyBwVNypDFV+4ZYlitm12ldKvo2O
 SUNjpWxOJ4cl61tt/qJ/OCjgNqutOaWlYsS3XFgsql0BYKZiZ6PAx2Ij9OdsRu61
 04BqIhPSLT90T+qvjF+0OJzbrs6vhB6m9jRRWXnT43XcvNfzc9+S7NIgWW+c+5X4
 knYYCnwPLKbK3opie9jzzl9ovY8+wXS7FXI6FoOpC+ZNmZzYV+yoAVHHb1c0XqtK
 LEL2TxyJeN4mTvVvk0wVaydWTQBUbHq3tw==
 -----END CERTIFICATE-----

- wiki.hmuna.com サーバー証明書 ----> &ref(wikihmunaSSLCertificateFile.pem);
- Rapid SSL の中間証明書 -----------> &ref(RapidSSL_CA_bundle.pem);

*** サーバーにキーをインストール [#m61c9623]
- /etc/apache2/site-available/wiki.hmuna.com [&ref(wiki.hmuna.com);] に設定を追加

# 20101225 に公式の証明書（でも安い！）を導入しなおした。
 # 導入経緯の説明は wiki に（https://wiki.hmuna.com:443/index.php?HomeServer6
 #   Server Certificate: 
 SSLCertificateFile      /etc/ssl/official/wikihmunaSSLCertificateFile.pem
 #   Server Private Key: 
 SSLCertificateKeyFile   /etc/ssl/official/wikihmunaPrivateKey.key
 #   Server Certificate Chain:
 SSLCertificateChainFile /etc/ssl/official/RapidSSL_CA_bundle.pem

*** このままだと、サーバー再起動時にパスフレーズの入力を要求される。 [#md471ba1]
- これだと &color(red){自動リブートさせた時などに Apache が立ち上がらなくて問題 ！};
- サーバーキーから パスフレーズを抜く

server-admin@mythen:/etc/ssl/official2$ sudo openssl rsa -in wiki.hmuna.com.privatekey -out wiki.hmuna.com.privatekey_passphraseless
 Enter pass phrase for wiki.hmuna.com.privatekey:   <--- "nanamochahiko"
 writing RSA key
 
 server-admin@mythen:/etc/ssl/official2$ ls -l
 合計 32
 -rw-r--r-- 1 root root 1391 12月 12 00:50 GeoTrust_intermediate_Certificate.pem
 -rw-r--r-- 1 root root 1743 12月 12 09:18 mail.hmuna.com.privatekey
 -rw-r--r-- 1 root root 1009 12月 12 09:20 mailhmunaCSR.csr
 -rw-r--r-- 1 root root 1842 12月 12 09:46 mailhmunaSSLCertificateFile2.pem
 -rw-r--r-- 1 root root 1751 12月 11 23:58 wiki.hmuna.com.privatekey
 -rw-r--r-- 1 root root 1679 12月 31 16:52 wiki.hmuna.com.privatekey_passphraseless  <--- できた！
 -rw-r--r-- 1 root root 1009 12月 12 00:11 wikihmunaCSR.csr
 -rw-r--r-- 1 root root 1842 12月 12 00:49 wikihmunaSSLCertificateFile2.pem

- このパスフレーズなしのサーバーキーを Apache に設定する

* Dovecot 調整 [#t5fd87b4]
*** 課題 [#oecf57c4]
- ユーザーアカウントのパスワードを変更したい
- メールサーバーでは Ubuntu のオリジナル証明書（Snake Oil) が有効になっているが、これも更新したい。
*** パスワードの変更 [#f1cd6dbe]
- dovecot アカウントのデフォルトパスワードは、Linux システムの PAM 認証を利用している。
- 認証時の伝送方法として PALNE（平文）のほか暗号化データを利用することができ、これらを利用することが推奨されている。まぁ当然だが。
- 今回やりたかったのは、dovcot アカウントのパスワードを PAM のパスワードとは別にして、逐次更新できるようにすること。

- まず、dovcot のパスワード認証で PAM ではなく、dovcot のポスワードデータベースを参照するように設定を変更する。

-- 設定ファイルは /etc/dovecot/dovecot.conf [&ref(dovecot.conf);] 
-- パスワードデーターベースは /etc/dovecot/passwd [&ref(passwd);]

- まず、PLANE（平文）パスワードでのログインを無効に設定する （dovecot.conf の設定、デフォルトでは有効）

disable_plaintext_auth = yes

- 次に passwd ファイルの参照を有効にする（dovecot.conf の設定、デフォルトでは無効、コメントを外すだけ）

# passwd-like file with specified location
 # <doc/wiki/AuthDatabase.PasswdFile.txt>
 passdb passwd-file {
   # [scheme=<default password scheme>] [username_format=<format>]
   # <Path for passwd-file>
   # 20101224 enabled
   args = /etc/dovecot/passwd
 }

- パスワード（CRAMーMD5) の生成は、Dovecot のコマンドを使う

root@spirit:/etc/dovecot# dovecotpw 
 Enter new password: 
 Retype new password: 
 {HMAC-MD5}a76c629eb7d5c10aa1860c2dd783b01700d606bdf0b080604f62fc8c34661871

- あとは生成された CRAM-MD5 の値を アカウントに紐付けて passwd ファイルに記入するだけ。

root@spirit:/etc/dovecot# cat passwd 
 # postfix の認証に sasl_auth を利用する。relay が禁止されているが、smtp_auth の
 # 認証が通ったものはリレー可能になるのでこの設定は必須。 実際の 認証は dovecot が
 # 代行できるので この dovecot のパスワードファイルを利用する。
 # 参照 web = http://nabe.blog.abk.nu/0304

# pass for smtp_auth connection (imap)
 server-admin@mtp:{HMAC-MD5}8e014b38eb82adeaa560bb8862d57004407240bf29acd6e37d6d7bbde603fc96
 munakata@smtp:{HMAC-MD5}0e8d79672596240aca201410861cfe1bca7f639d4a9af9a63b0c4c11c0299a06
 public_mail@smtp:{HMAC-MD5}47e27fa0a8ded62a095f4d265d25048f54e72487d2004a8dcfda3b2f786e2f7c
 stored_mail@smtp:{HMAC-MD5}317d5f3e05294aee9d9993c723266d3d66082a94a9e70bf70dfb14da1660684a
 yuko@smtp:{HMAC-MD5}a491880edfbd0793d0c00010b3e62380ed1d0e64450182667ffa4cd4ba8c47b6
 purple@smtp:{HMAC-MD5}ca0a8f9b097ea5552b23375257443ab5abbb7c1401840c02567181d6fb545093
 dtv-rec@smtp:{HMAC-MD5}acbd6cd9611b52ebbaf7fdb4771bbe2d32fac682dfce36134fee2bdda0128658

- 最後に新たらしいパスワードの有効化のために、dovecot を再起動する。

*** 参考 URL [#o08c15c1]
-- http://d.hatena.ne.jp/wizard_blue/20090214/1234539843

*** dovecot と postfix の証明書 [#ea721061]
- dovecot と postfix は内部の認証（アカウント認証、リレー認証 など）のために SSL 証明書を利用し、メールクライアントに対してこのサーバーはこの証明書を利用していると告知する。　Ubuntu ではデフォルトで Ubuntu という名前のサーバーを登録しているが、当然これは実際のメールサーバー名とは異なるので、クライアントで怪しいというメッセージが出る。 今回、メールサーバー用にも自作の なんちゃって証明書を利用するようにしたが、その Common Name が hmuna.com であったために、証明書の出元が怪しい（それはなんちゃってだから当然だが）と サーバー名が違う （メールサーバーの名前は mail.hmuna.com だから）という二重のエラーが出るようになってしまった。　さて....

*** 公式証明書の取得 [#zba71b17]
- 下記の 参考URL にほぼ必要なことが全て書かれているが、要するにちゃんとした認証局から証明してもらった証明書を使う必要があり、今回見つけた年間 10$ 程度の費用であれば、やった方がよいという判断にした。
- 強いていえば、最近の証明は 証明書が 中間証明 とペアでないと認証されない仕掛けなので、dovecot/postfix に中間証明書を渡す方法が肝になるが、要するに cat でつなげてしまえばよいだけの話だった。

*** 証明書 [#t69292ef]
- 証明書の発行手順は、上記の Apache2 サーバー向けと同じ。 CSR 発行時の Common Name が mail.hmuna.com である事だけが違い。
- 一つの証明書で複数のサーバー （www, wiki, ftp, mail 等）に使える ワイルドカード証明書というものもあるが、費用は1台限定のものの１０倍くらいするので、今回の２台ならシングルを２個発行した方が全然割安という判断。

- mail.hmuna.com サーバー証明書 ----> &ref(mailhmunaSSLCertificateFile.pem);
- Rapid SSL の中間証明書 -----------> &ref(RapidSSL_CA_bundle.pem);
- 統合証明書（サーバー証明書＋中間証明書）　-------> &ref(mailhmunaSSLCertificateCombinedFile.pem); <---- 自分で作る。下記に説明あり。

*** 証明書の更新 （2012-11 4年間） [#ja54e2c4]
- 基本的には Apache の証明書更新 （上記）と全く同じ手順
- パスフレーズは nanamochahiko （同じ）

-- Private Key = &ref(mail.hmuna.com.privatekey);
-- CSR = &ref(mailhmunaCSR.csr);
-- Certification = &ref(mailhmunaSSLCertificateFile2.pem);
-- Intermediate file = &ref(GeoTrust_intermediate_Certificate.pem);

*** 証明書のインストール [#ee07865f]
- 証明書は dovecot と postfix の両方に、別々の目的で登録する必要がある。 簡単だが、罠が２つある。
- 罠１
-- dovecot の設定ファイルには /etc/dovecot/dovecot.conf と /etc/dovecot/dovecot-postfix.conf の２つがあること。元々は Ubuntu 標準の Snake Oil 証明書を使う設定が後者に記載されているので、dovecot.conf の設定を変えても、あとから後者の設定ファイルがオーバライドされてしまうようで、証明書が有効にならなかった。 本来は後者にだけ設定を書けば良いのだろうが、現在は両方に書いている。
- 罠２
-- 今回導入した Rapid SSL は中間証明書を必要とするものだが、dovecot、postfix には Apache のような中間証明書を別に指定する設定がない。 （postfix のバージョンによってはあるようだが） その代わり、証明書の中に中間証明書をまとめておくことが必要になる。　この時にまとめる順番によってメールクライアントが正しく証明書を処理できないケースがあるようである。
- 実際の設定ファイル
-- &ref(dovecot.conf);
-- &ref(dovecot-postfix.conf);
-- &ref(main.cf);

*** 参考 URL [#kd6f1c9d]
- http://hogech.jp/blog/?p=292

* awstats (メール統計）の復旧 [#kf00e139]

- http://www.shitomi.jp/ubuntu804/awstats.html　を参考に apt-get でインストール
- Ubuntu では /usr/share/awstats にファイルが配置される
- WWW の置き場は /raid_vol/www の下とする
- http://www.server-world.info/query?os=Ubuntu_10.04&p=mail&f=9 を参考にメール用に設定
- DNS 逆引きはメール側で対応済みなので awstats では引かない様に設定ファイル （/etc/awstats/awstats.postfix.conf）を修正した
- cron で毎時自動実行

root@spirit:~# cat /etc/cron.hourly/awstats 
 #!/bin/bash
 
 /usr/lib/cgi-bin/awstats.pl -config=postfix -update > /dev/null
 /usr/lib/cgi-bin/awstats.pl -config=postfix -output -staticlink > /raid_vol/www/awstats/index.html
 
 exit 0

* 設定記録 （asof 2011-05-04) [#cdef78aa]
*** fstab [#rd8447fc]

server-admin@spirit:~$ cat /etc/fstab
 # /etc/fstab: static file system information.
 #
 # <file system> <mount point>   <type>  <options>       <dump>  <pass>
 #---------------------------------------------------------------------------------------------------
 proc            /proc           proc    defaults        0       0
 #---------------------------------------------------------------------------------------------------
 # /dev/sda1
 UUID=d91f0e8b-d558-4448-83d3-e3e4397fa1d4 /               ext3    relatime,errors=remount-ro 0       1
 #---------------------------------------------------------------------------------------------------
 # /dev/sda3
 UUID=82470a1b-ed6c-4e25-915e-cd5445863cdc /boot           ext3    relatime        0       2
 #---------------------------------------------------------------------------------------------------
 # /dev/sdd1
 #UUID=7ec7c6ac-a426-4ae6-ae6b-497c2d84c164 /recipe	  ext3    relatime        0	  2
 #---------------------------------------------------------------------------------------------------
 # /dev/sdf2
 #/dev/sdf2                                /dtv_rec        ext3    relatime        0       2
 #UUID=66c408d1-d786-4f96-97d0-9c19b9f110c5 /dtv_rec        ext3    relatime        0       2
 #---------------------------------------------------------------------------------------------------
 # /dev/sdg1
 #/dev/sdg1                                /dtv_rec2       ext4    relatime        0       2
 UUID=75a20c86-b461-4808-adfc-6fb5a26db0f3 /dtv_rec2       ext4    relatime        0       2
 #---------------------------------------------------------------------------------------------------
 # /dev/sdh1
 #/dev/sdh1                                /dtv_recA       ext4    relatime        0       2
 UUID=b424addb-e108-4281-90c0-c09a18fe1c21 /dtv_recA       ext4    relatime        0       2
 #---------------------------------------------------------------------------------------------------
 # /dev/sdi1
 #/dev/sdi1                                /dtv_recB       ext4    relatime        0       2
 UUID=7e0844b8-c278-4f07-b3e9-7a62a5450eb0 /dtv_recB       ext4    relatime        0       2
 #---------------------------------------------------------------------------------------------------
 # /dev/md0 (/dev/sdb1 + /dev/sdc1 : RAID1 )
 /dev/md0	/raid_vol	ext4    relatime        0       2
 #---------------------------------------------------------------------------------------------------
 # /dev/sde2
 UUID=fef7b57a-beb7-4e04-98b0-9b1ca438c762 /ref            ext4    relatime        0       2
 #---------------------------------------------------------------------------------------------------
 # /dev/sdb5
 UUID=b97f92e6-b7c5-406b-b62b-9c643275077a none            swap    sw              0       0
 #---------------------------------------------------------------------------------------------------
 /dev/scd0       /media/cdrom0   udf,iso9660 user,noauto,exec,utf8 0       0

*** mount [#hbe31d75]

server-admin@spirit:~$ mount
 /dev/sda1 on / type ext3 (rw,relatime,errors=remount-ro)
 proc on /proc type proc (rw)
 none on /sys type sysfs (rw,noexec,nosuid,nodev)
 none on /sys/fs/fuse/connections type fusectl (rw)
 none on /sys/kernel/debug type debugfs (rw)
 none on /sys/kernel/security type securityfs (rw)
 udev on /dev type tmpfs (rw,mode=0755)
 none on /dev/pts type devpts (rw,noexec,nosuid,gid=5,mode=0620)
 none on /dev/shm type tmpfs (rw,nosuid,nodev)
 none on /var/run type tmpfs (rw,nosuid,mode=0755)
 none on /var/lock type tmpfs (rw,noexec,nosuid,nodev)
 none on /lib/init/rw type tmpfs (rw,nosuid,mode=0755)
 /dev/sdf1 on /dtv_recA type ext4 (rw,relatime)
 /dev/sdg1 on /dtv_recB type ext4 (rw,relatime)
 /dev/sde1 on /dtv_rec2 type ext4 (rw,relatime)
 /dev/sdd2 on /ref type ext4 (rw,relatime)
 /dev/md0 on /raid_vol type ext4 (rw,relatime)
 /dev/sda3 on /boot type ext3 (rw,relatime)
 gvfs-fuse-daemon on /home/server-admin/.gvfs type fuse.gvfs-fuse-daemon (rw,nosuid,nodev,user=server-admin)
 binfmt_misc on /proc/sys/fs/binfmt_misc type binfmt_misc (rw,noexec,nosuid,nodev)

* [[Ubuntuインストール直後にすべき10のこと:http://gihyo.jp/admin/serial/01/ubuntu-recipe/0065]] [#t9ba7ff3]

タイムスタンプを変更しない