mewでsakura共有サーバとSSL暗号化通信(IMAP)
mew, SSL, IMAP
GoogleがIMAPをサポートしたときにたくさんあった話で、相当に今更感のある記事ですが、忘れっぽいのでメモを残しておきます。環境をMac mini, Yosemiteに変えた際の記録です。
実はIMAPはあんまり関係がなく、mewとSSL通信の話です。
準備
クライアント側はhomebrew, openssl, stunnel, emacs, mewが必要です。 サーバ側は、Sakuraの共有サーバです。すでにIMAP over SSLが使える状態です。
大きな流れ
mewの通信自体は、stunnelでサーバとSSL通信を張り(トンネリング)、そのトンネルを通じてIMAP通信を行う、というものです。伝統的なUnixのやり方にのっとり、mewやEmacs自体ではSSL通信をしません。外部のツールを使います。 名前からわかるように、stunnelはSecure Tunnelということで、トンネリングするためのツールです。
stunnelでSSL通信ができるようにする
インストール
homebrewを使って、必要なものをインストールします。
$ brew install openssl
$ brew install stunnel
で終わりです。当たり前ですが、stunnelはbrewで入れたopensslにリンクされます。これが大事です。また、普通にopensslコマンドを叩いても、もともとある(古いバージョンの)/usr/bin/openssl
が使われてしまいますので、テスト通信をしてみたり、証明書を変更するときの失敗の原因になります。地味にひっかかります。
stunnelとopensslがどういう関係になっているかは、
$ otool -L /usr/local/bin/stunnel
で調べられます。/usr/local/opt/openssl
にあるライブラリが表示されたら大丈夫です。
opensslでテスト通信
stunnelでSSL通信をする前に、opensslのクライアントコマンドを使って証明書の検証が解決しているか確認します。これがうまくいかないと暗号化通信が確立できません。
$ /usr/local/opt/openssl/bin/openssl s_client -connect hogehoge.sakura.ne.jp:993 > /dev/null
とやってみましょう。hogehogeは自分のサーバによみかえてください。993はポート番号です。 うまくいったようなら、stunnelで通信可能なので、次は飛ばしてください。逆にもし、証明書が検証できなかった場合には、
verify error:num=20:unable to get local issuer certificate
といったエラーがでます。でてしまった場合には、自分で証明書を取ってきます。
証明書の準備
先ほどのopensslのコマンドで/dev/null
に捨ててしまった出力を出してみると、
Certificate chain
0 s:/OU=GT90704249/OU=See www.rapidssl.com/resources/cps (c)14/OU=Domain Control Validated - RapidSSL(R)/CN=*.sakura.ne.jp
i:/C=US/O=GeoTrust Inc./CN=RapidSSL SHA256 CA - G3
1 s:/C=US/O=GeoTrust Inc./CN=RapidSSL SHA256 CA - G3
i:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
2 s:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
i:/C=US/O=Equifax/OU=Equifax Secure Certificate Authority
と表示されていました。検証できなかったGetTrustの証明書が手元にあれば良さそうです。GeoTrustのサイトからとってきます。 DigiCert Root Certificates - Download & Test | DigiCert.com
(2015年時点では)Root1(Equifax)とRoot2(GeoTrust_Global_CA.pem)のpem形式のファイルを取得します。ホームディレクトリの ~/.certs
というフォルダをつくり、そこに置いておきましょう。署名書を検証できるようにハッシュをとります。そのためには、~/.certs
ディレクトリで、次のコマンドを打ちます。
cp GeoTrust_Global_CA.pem `/usr/local/opt/openssl/bin/openssl x509 -hash -in GeoTrust_Global_CA.pem -noout`.0
Equifaxも同じようにやっておけば大丈夫でしょう。opensslコマンドは必ずhomebrewでインストールしたものをつかってください。MacOSの古いバージョンとは互換性がありません。
これでopenssl通信を行ってみてください。接続可能になるとおもいます。こんなコマンドです。
$ /usr/local/opt/openssl/bin/openssl s_client -connect hogehoge.sakura.ne.jp:993 -CApath ~/.certs
mewの準備
mewのマニュアルどおりです。
(setq mew-proto "%")
(setq mew-imap-user "fuga@hogehoge.sakura.ne.jp") ;; (user-login-name)
(setq mew-imap-server "hogehoge.sakura.ne.jp") ;; if not localhost
(setq mew-imap-ssl t)
(setq mew-imap-ssl-port "993")
(setq mew-imap-delete nil)
(setq mew-imap-size 0)
(setq mew-ssl-verify-level 2) ; 本来はいらない
mew-ssl-verify-level
を0にセットすると先ほどのOpensslの検証エラーは無視されますが、本来は2にしておいたほうがいいでしょう。また、(setq mew-debug t)
と追加しておくとデバッグができます。mewのdebugをみれば、opensslの通信が正しくできているか判別可能です。