[postfix-jp:02164] Re: TLS でつまづいています。

[TASHIRO Katsuya <tashiro_katsuya@xxxxxxxxx>]

田代です．

> #./CA.sh -newreq
> PEMパスワードやCountry Nameなどを入力
> 
> /var/ssl/misc/newreq.pemが作成されているのを確認。
> ファイルの中身を確認すると、
> -----BEGIN RSA PRIVATE KEY-----
> Proc-Type: 4,ENCRYPTED
> 
> と始まり、
> 
> -----END RSA PRIVATE KEY-----
> -----BEGIN CERTIFICATE REQUEST-----
> 　　・
> 　　・
> 　　・
> -----END CERTIFICATE REQUEST-----
> 
> となっています。

Proc-Type: 4,ENCRYPTED
とあるため，この秘密鍵は暗号化されていますね．


> telnetで確認してみましたが、
> やはり以前と同じようなエラーログ
> postfix/smtpd[20971]: unable to get private key from
> '/etc/postfix/newcert.pem'
> postfix/smtpd[20971]: 20971:error:0906D06C:PEM routines:PEM_read_bio:no
> start line:pem_lib.c:663:Expecting: ANY PRIVATE KEY:
> postfix/smtpd[20971]: 20971:error:140B0009:SSL
> routines:SSL_CTX_use_PrivateKey_file:missing asn1 eos:ssl_rsa.c:707:
> postfix/smtpd[20971]: TLS engine: cannot load RSA cert/key data
> 
> が出てしまいうまく動作しません。
> 
> やはり、プライベートキーが暗号化されていると
> いけないのでしょうか？
> もしくは、master.cfファイルの編集が必要なのでしょうか？

SSL関連のエラーログだと思いますので，master.cfは関係ないと思います．

Apacheのmod SSLの場合は，サービスをスタートさせる時に，
秘密鍵の暗号を解くパスフレーズを入力するプロンプトが出てくるので，
秘密鍵を暗号化しておいても大丈夫です．
（そのかわり，ＯＳ起動時にApacheを自動的に起動させることが出来なくなります．）
パスフレーズを聞いてこないと思うので，秘密鍵は暗号化されていてはダメでしょう．
他のSSL関連のツール（stoneなど）でも，秘密鍵は暗号化されているとダメです．

以上について，よろしくお願いします．

    _/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/
   _/ // )) //||  // )) //||   _    _   _/_                  _/
  _/ //    //_|| //    //_|| // ))//_)) //     田 代  勝 也 _/
 _/ ((__))// _||((__))// _||// //((___ ((_ TASHIRO Katsuya _/
_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/