Anweisungen zur Verwendung einer SSL-Verbindung mit dem Mailserver der
TUHH unter Pine (Datum: 2007/01/19 09:32:25, Revision: 1.2 durch Author:
zemke).

Pine unterstuetzt nativ SSL-Verbindungen. SSL Support erfolgt ueber
OpenSSL. Die folgenden Schritte zeigen am Beispiel eines TU-Rechners, wie die
Installation des CERT-Wurzelzertifikates erfolgt.

1) Download: Download des Zertifikates von

   https://www.pca.dfn.de/dfn-pki/certification/x509/classic/g1/data/html/cacert.html

Wichtig: im Endeffekt wird die PEM-Version benoetigt.

2) Verifizieren:

openssl x509 -noout -fingerprint -in root-ca-cert.pem

Dieser Aufruf sollte den folgenden String ergeben:

SHA1 Fingerprint=12:63:41:60:D0:8C:FE:6A:87:6D:F7:86:D3:AD:C2:F7:74:FF:21:9F

Am besten vergleichen Sie den erhaltenen String mit dem SHA1
Fingerprint auf der oben genannten Seite

   https://www.pca.dfn.de/dfn-pki/certification/x509/classic/g1/data/html/cacert.html

3) Installieren:

a) Zuerst muessen Sie das Verzeichnis <ssl-base-dir> finden. Unter SUSE 
Linux 10.1 ist das:

  /etc/ssl

In <ssl-base-dir> sollten (mindestens) die Verzeichnisse

   <ssl-base-dir>certs/ und <ssl-base-dir>private/

existieren.

b) Jetzt muessen Sie sich als root einloggen und ins Verzeichnis
<ssl-base-dir>certs/ wechseln, also unter SUSE Linux 10.1 z.B.:

   su root
   cd /etc/ssl/certs/

Wenn Sie noch die alte Installation verwenden, sollten Sie die alte Version
umbenennen und den damals erzeugten symbolischen Link umbiegen, also z.B.:

  cp root-ca-cert.pem root-ca-cert.old.pem
  rm 58b68fb7.0
  ln -s root-ca-cert.old.pem 58b68fb7.0

Diesen Schritt lassen Sie aus, falls Sie keine vorherige Version von
root-ca-cert.pem  installiert hatten.

Kopieren Sie nun das Zertifikat nach <ssl-base-dir>certs/:

   cp <path-to-certificate>root-ca-cert.pem .

Die Rechte muessen evtl. angepasst werden: Lesen fuer Welt, Schreiben
nur fuer root:

   chmod 644 root-ca-cert.pem

Hash berechnen:

   openssl x509 -noout -hash -in root-ca-cert.pem

(Dieses ergibt bei der Beispielinstallation den Wert 6536328f)

Den Wert nehmen, String ".0" anfuegen und den so erhaltenen Namen
6536328f.0 als symbolischen Link auf root-ca-cert.pem erzeugen:

    ln -s root-ca-cert.pem 6536328f.0

4) Das Zertifikat verifizieren:

   openssl verify -CApath /etc/ssl/certs root-ca-cert.pem

Das ergibt bei der Beispielinstallation:

   root-ca-cert.pem: OK

Damit ist die Installation des Zertifikates abgeschlossen. Unter Pine muss man
evtl. noch den Mailserver korrekt einstellen, falls dieses noch nicht
geschehen ist:

  pine
  (S) Setup
  (C) Config
  smtp-server = mail.tu-harburg.de

Danach sollte das Mailing unter Pine wie vorgesehen ueber SSL funktionieren.


--
Jens-Peter M. Zemke -- zemke@tu-harburg.de
    http://www.tu-harburg.de/~matjz
  Institut fuer Numerische Simulation
Technische Universitaet Hamburg -- Harburg