YANGHONG

SSL for Nginx and My Own Mail Server

起因是我看到了 V2EX 上的一个帖子,确切来说是“又”看到,Google 调整搜索引擎算法:HTTPS 网站排名更高,Namecheap 放出 Comodo Positive SSL 证书 4.99 刀一年。 我印象中今年早些时候看到过 Comodo 的这个证书,当时应该是买过一个,不过无奈在邮件里怎么也搜不到当时的邮件了(其实是我搜的关键字不对…)当我点开 Namecheap 的链接并且又买了一个证书的时候,我才发现之前的那个就在这里, 6 月份才刚刚买的。。。哎算了算了,本来这种证书也只能签一个域名,说不定以后还用得上。

其实倒不是有多么想用 SSL 也并不在意 Google 的排名,只不过客观上今天我啥事也做不了。我要用的两台测试机:一台被霸占了一整天,还改了内核锁,导致除了 zmz 在跑的 benchmark ,别的程序几乎都没法跑;另一台则是有半年都被学霸占用,不过就算只有这一台,我也跑不了测试。所以就折腾一下 SSL 吧。

本来也就是分分钟的事情,发一个 CSR 到 Namecheap ,收到证书,然后把 private key 和 crt 文件放到系统里,设置一下 nginx ,就能跑了。

不过中途在发 CSR 的时候, Namecheap 提示我域名的 mx 设置有问题,证书的验证邮件有两种方式发给我:1. 发到注册域名的邮箱,在我这里就是类似于 webmaster@yanghong.org 这样的;2. 发到 Whois Guard 的邮箱,本来应该是“ averylongstring@whoisguard.com ”,但是当时的选项却只有一个不能用的 legal@whoisguard.com 。后来才知道, Comodo 的这个证书只能支持发送到注册域名的邮箱,可是我还没有设置域名下的邮箱服务,所以 CSR check 就总是报警告,域名的 MX Record 有问题。(后来证明这个警告可以忽略的,只要配置 Namecheap 自动把 webmaster@yanghong.org 收到的邮件 forward 到我自己的邮箱就可以了)

所以从下午到晚上,我都在给 VPS 配置邮件服务。其实这在 NSA 的风波之后就应该被提上日程了,只是我实在太懒,而且总有杂七杂八的事情,况且 P 哥似乎忠告过我设置自己的邮件服务非常费时。那么就是今天了。

攻略

攻略?呵呵如果要我自己从头摸索没个几天还能搞得定?当然是依样画葫芦咯。。。How to run your own e-mail server with your own domain 这个系列有 3 篇长文章组成, ars technica 出品,必属精品。

总结

这么快就总结了。。。因为只要照着做就行了,其实没什么特别的,只是要耐心地看他如何解释每一步是什么意思,这样才会对邮件系统有更深的了解。之前简单研究过邮件系统里的一些验证方法, SPF、PTR、DKIM 等,上面那系列文章里都会涉及到。但是关于 security 的方面,严格来说,我发现自己的服务器真的是漏洞多得不知道从何开始。只能慢慢改了,而且邮件服务里的一些 anti-spam 的步骤我都先跳过去了,所以后续还有很多事要做。。。

comments powered by Disqus