1.3.2. Dovecot サーバーでの TLS 暗号化の設定

Dovecot はセキュアなデフォルト設定を提供します。たとえば、TLS はデフォルトで有効になっており、認証情報と暗号化されたデータをネットワーク経由で送信します。Dovecot サーバーで TLS を設定するには、証明書と秘密鍵ファイルへのパスを設定するだけです。

Diffie-Hellman パラメーターを生成して使用し、Perfect Forward Secrecy (PFS) を提供することで、TLS 接続のセキュリティーを強化できます。

前提条件

Dovecot がインストールされている。
次のファイルが、サーバー上のリストされた場所にコピーされている。
- サーバー証明書: /etc/pki/dovecot/certs/server.example.com.crt
- 秘密鍵: /etc/pki/dovecot/private/server.example.com.key
- 認証局 (CA) 証明書: /etc/pki/dovecot/certs/ca.crt
サーバー証明書の Subject DN フィールドのホスト名が、サーバーの完全修飾ドメイン名 (FQDN) と一致する。
FIPS モードが有効になっている場合、クライアントは Extended Master Secret (EMS) 拡張機能をサポートしているか、TLS 1.3 を使用している。EMS を使用しない TLS 1.2 接続は失敗します。詳細は、Red Hat ナレッジベースソリューション TLS extension "Extended Master Secret" enforced を参照してください。

手順

秘密鍵ファイルにセキュアな権限を設定します。

# chown root:root /etc/pki/dovecot/private/server.example.com.key
# chmod 600 /etc/pki/dovecot/private/server.example.com.key

Diffie-Hellman パラメーターを使用してファイルを生成します。
```
# openssl dhparam -out /etc/dovecot/dh.pem 4096
```
サーバーのハードウェアとエントロピーによっては、4096 ビットの Diffie-Hellman パラメーターを生成するのに数分かかる場合があります。
/etc/dovecot/conf.d/10-ssl.conf ファイルで証明書と秘密鍵ファイルへのパスを設定します。
1. ssl_cert および ssl_key パラメーターを更新し、サーバーの証明書と秘密鍵へのパスを使用するように設定します。
  ssl_cert = </etc/pki/dovecot/certs/server.example.com.crt ssl_key = </etc/pki/dovecot/private/server.example.com.key
2. ssl_ca パラメーターをコメント解除し、CA 証明書へのパスを使用するように設定します。
  ssl_ca = </etc/pki/dovecot/certs/ca.crt
3. ssl_dh パラメーターをコメント解除し、Diffie-Hellman パラメーターファイルへのパスを使用するように設定します。
  ssl_dh = </etc/dovecot/dh.pem
重要
Dovecot がファイルからパラメーターの値を確実に読み取るようにするには、パスの先頭に < 文字を付ける必要があります。

次のステップ