Собрался настроить HTTPS и SSL в почте. А также в других сервисах. Ubuntu 9.04 Server, весь софт последний из аптов.
Но эка незадача! Фуррифокс (3.0.x) выдаёт следующую ругань:
SSL received a record that exceeded the maximum permissible length.
(Error code: ssl_error_rx_record_too_long)
По справке верзиллы(тм) эта ошибка значит: «SSL-пакет просто неправильный или не соответствует стандартам. Так-то.»
Перечитал ТОННЫ страниц про то как генерить сертификалии. Даже написал свой батник:
# generate private key
openssl genrsa -des3 -out server.key 2048
# create insecure version of a key (browsers will not prompt for password)
openssl rsa -in server.key -out server_ins.key
mv -f server.key server_sec.key
chmod 600 server_ins.key
chmod 600 server_sec.key
# create CSR and self-signed certificate
openssl req -new -key server_sec.key -out server_sec.csr -multivalue-rdn -subj "/C=RU/ST=none/L=Moscow/O=My Corp./OU=IPS/CN=mysite.com/emailAddress=ips@mysite.com"
openssl x509 -req -days 3660 -in server_sec.csr -signkey server_sec.key -out server_sec.crt
openssl req -new -key server_ins.key -out server_ins.csr -multivalue-rdn -subj "/C=RU/ST=none/L=Moscow/O=My Corp./OU=IPS/CN=mysite.com/emailAddress=ips@mysite.com"
openssl x509 -req -days 3660 -in server_ins.csr -signkey server_ins.key -out server_ins.crt
# copy these to approriate locations
cp server_ins.crt /etc/ssl/certs
cp server_sec.crt /etc/ssl/certs
cp server_ins.key /etc/ssl/private
cp server_sec.key /etc/ssl/private
#special PEMs for SMTP
openssl req -new -x509 -extensions v3_ca -keyout ca_key.pem -out ca_cert.pem -days 3660 -multivalue-rdn -subj "/C=RU/ST=none/L=Moscow/O=My Corp./OU=IPS/CN=mysite.com/emailAddress=ips@mysite.com"
cp ca_key.pem /etc/ssl/private
cp ca_cert.pem /etc/ssl/certs
В sites-available-ssl сертификаты прописал, /etc/init.d/apache2 restart делал. Эффекта NULL.
PLEASE F1! Я не понимаю этих grepаных ключей, сертификатов и пемов. Просто тупо скажите, что я не так делаю и как сделать правильно! И ещё - как защитить файлы - какие пермишшены выставить чтоб никто не спёр но апач, джаббер и мыльные сервисы их могли читать? Сроки жмут как китайские кроссовки!