А теперь расскажу об одном непременном атрибуте каждого СА: создания списка недействительных сертификатов (чтобы не переполнять текст, буду далее применять обозначение CRL). По истечении определённого срока сертификат становится недействительным. Если это сертфикат сотрудника, то после его увольнения сертификат также необходимо считать недействительным (а если уволили вас?). Если секретный ключ сертификата стал достоянием общественности, то и его вносят в CRL. Для управления CRL можно использовать утилиту openssl ca. Для начала создаём crl:

openssl ca -gencrl -out crl.pem

Затем просто отменяем нужные ( точнее говоря, ненужные) сертификаты командой:

openssl ca -revoke bad_cert.pem

После каждого применения revoke необходимо обновлять CRL командой openssl -gencrl. Для применения внутри СА необходимо дать клиентам возможность отменять их сертификаты, для этого необходимо предоставить им доступ к CRL. Если же вы используете аутентификацию через сертификаты, то пользователям необходимо понять, как опасно потерять секретный ключ.

Ещё способ давать пароль для секретного ключа с помощью /dev/random, закодированного base64, и сообщать пароль клиенту только лично (можно также поиграться со временем действия сертификата клиента, но зачастую это может сильно увеличить сложность работы, если вам необходимо раздавать сертификаты лично).

Теперь настало время обратиться к защите почтовых серверов. Одним из наиболее удобных вариантов является использование courier в качестве pop3- и imap-серверов, а в качестве MTA использовать postfix. Итак, начнём с курьера.

Курьер поставляется с грамотным конфигом, поэтому у меня всё заработало сразу же безо всяких проблем с настройкой. Единственное, что необходимо учесть, так это то, что сертфикат почтового сервера должен быть подписан CA-сертификатом (по умолчанию при сборке курьера генерится self-signed сертификат, но я бы рекомендовал создать сертификат, как это было сделано в Apache или воспользовавшись моим скриптиком CA, только необходимо изменить настройки extensions). Кроме этого, сертификат организации, которым был подписан ключ сервера, должен находиться среди доверенных сертификатов почтового клиента. Я всё же расскажу о некоторых полезных опциях конфигурации couriera (imapd и pop3d):

imapd-ssl

# Запускаем работу механизма ssl для imap-сервера. В файлах esmtpd-ssl, pop3d-ssl можно также устанавливать эту опцию

# для конкретного сервера (например, ESMTPDSSLSTART...).

IMAPDSSLSTART=YES

# Порт для безопасного соединения (по умолчанию порт не определён, но обычно используются следующие значения:

# IMAPS - 993, POPS - 995 и SMTPS - 465). Адрес задается как IP-адрес.

SSLPORT=993

SSLADDRESS=0

# PID-файл для ssl сервера.

SSLPIDFILE=/var/run/courier/imapd[pop3d, esmtpd]-ssl.pid

# Использование улучшенного протокола tls, по умолчанию выключено, но у меня всё работало нормально с включением

# расширений tls. TLS используется, если необходимо использовать особый ssl порт, т.е. позволяет использовать

# особый порт для работы ssl.

IMAPDSTARTTLS=YES