というか、今まで動いてたのが courier-imad-ssl の deb に含まれてた imapd.pem でしかも有効期限切れみたいな状態だったので、正確には作り直したじゃなくて作った。
手順としては /etc/courier/imapd.cnf を編集して、/usr/sbin/mkimapdcert を実行するだけ。
このスクリプトだと、/usr/lib/courier に imapd.pem が出来るんだけど、元の状態は /etc/courier/imapd.pem から /usr/lib/courier/imapd.pem にリンクが貼られてた感じなので、その辺はよしなに。
imapd-ssl の設定ファイルが /etc/courier/imapd.pem を見てるので元の状態の方が正しい気がする。
出来る証明書の有効期限は365日で、スクリプト中にハードコーディングされているので、のばしたいならスクリプトを編集する必要あり。
まあ、自己署名だし、有効期限が切れたからと言ってどうと言うこともない。
サービスを再起動して、クライアントから証明書を表示して、新しいものになっていればOK。
これで、今後の imaps 通信が( heartbleed 脆弱性によって)盗聴されることは無いはず。
ただ、これまでにユーザのパスワードが抜かれた可能性はあるかもしれない(?)ので、変更しておいた方が無難。
でも、あちこちの端末のMUAで設定を変えなければならないので面倒なんだよね。
しばらく mail.log でもチェックして、身に覚えの無い端末からのログインが無ければいいことにする。
imapd-ssl の設定ファイルが /etc/courier/imapd.pem を見てるので元の状態の方が正しい気がする。
出来る証明書の有効期限は365日で、スクリプト中にハードコーディングされているので、のばしたいならスクリプトを編集する必要あり。
まあ、自己署名だし、有効期限が切れたからと言ってどうと言うこともない。
サービスを再起動して、クライアントから証明書を表示して、新しいものになっていればOK。
これで、今後の imaps 通信が( heartbleed 脆弱性によって)盗聴されることは無いはず。
ただ、これまでにユーザのパスワードが抜かれた可能性はあるかもしれない(?)ので、変更しておいた方が無難。
でも、あちこちの端末のMUAで設定を変えなければならないので面倒なんだよね。
しばらく mail.log でもチェックして、身に覚えの無い端末からのログインが無ければいいことにする。
