PMail Server2 で対応する（予定）の SSL/TLS 通信ですが、取りあえず動く所までは来ています。



ログ関係の設定はまだ増えますが、PMail Server 側はこの程度です。
証明書ストアというのは、Windows で証明書を記録しておく機能で、どこに証明書を記録するかという設定です。
証明書ストアを使うと秘密鍵もセットでインストールすることが出来ますので便利です。



mmc のスナップで確認することができます。
上記は OpenSSL のコマンドラインを使って、PFX(PKCS#12)形式で作成したオレオレ証明書をインストールしてあります。

インストール自体はわかってしまえば簡単なのですが、あちこちに設定が必要になるので、若干面倒です。

流れとしては

１）まず PFX 形式の証明書を作る。又は正式な認証局から発行してもらいます。

２）PMail Server 用のアカウントを１つサーバーに作成する。

３）２で作成したアカウントで１の証明書をインストールします。




暗号化通信の為の証明書には秘密鍵がついていますので、秘密鍵を入力します。

「このキーをエクスポート可能とする」にチェックは入れる必要があるようです。（まだ開発中なのではっきりしていませんが、エクスポート可能にしていないとSSL通信のハンドシェイクでエラーがでるようです。）

「秘密キーの保護を強力にする」にはチェックを入れたくなりますが、これを入れると PMail Server 側に秘密鍵を登録しなければなりませんが登録できないようになっていますのでチェックは入れないようにします。
（PMail Server 側で登録する際に暗号化の為の秘密鍵を暗号化する手間が出ますので危険です。）


どのストアに保存するかを選択します。
（オレオレ証明なら信頼された信頼された発行元でいいでしょう。どちらにしてもオレオレ証明だとルート認証局で認証されていませんので警告が出ますが・・・）

次に管理ツールのサービスから、PMail Server を選びプロパティのログオンから、２で作成したアカウントを選びパスワードも入れます。



前の記事にありましたように、PMail Server はデフォルトで LSA (Local System Account) にてインストールされますが、LSA から証明書ストアへのアクセスは制限されているようなので、このような方法を取る必要があります。
（これまた前回の記事にも書きましたが、特権モードへ昇格させて別のアカウントでログインしたように偽装？した上で実行すればこの手間は省けますが、とても危険なのでやりません。）

準備としては以上です。



上は実際に Thunderbird で SSL通信（STARTTLS）を使って IMAP4 へアクセスしているログです。
（実際には暗号化されています。）

SSL/TLS通信はCPUやネットワークに負荷がかかりますが、セキュアな通信が出来るようになります。


さて、ここで問題？が。
SSL/TLS通信に対応するとなると、当然ながら他のプロトコルも対応する必要があります。
対応するとなると、最終的には下記をすべて対応させる必要があります。
1st SMTP : SMTP + STARTTLS (Port25)
2nd SMTP : Submission SMTP + STARTTLS (Port587)
3rd SMTP : SMTP over SSL (Port465)

1st POP3 : POP3 + STARTTLS (Port110)
2nd POP3 : APOP + STARTTLS (Port112)
3nd POP3 : POP3 over SSL (Port995)

1st IMAP4: IMAP4 + STARTTLS (Port143)
2nd IMAP4: IMAP4 over SSL (Port993)

（今の処完成しているのは IMAP4 の 1st / 2nd のみ）

うはー、対応させる物と追加の物が多い、多い。
出来るだけ PMail Server に時間が取れるようにしないとですね。