[mew-dist 27312] (無題)
Chie Nakamado
chienakamado at example.com
2006年 9月 12日 (火) 20:30:00 JST
こんにちは 中窓です
Fedora Core 5 上の Stunnel 4.14-3.2 と Mew 5.1 の
組み合わせで、 Gmail を読み書きしようとしているの
ですが、現在、
> Creating an SSL/TLS connection...FAILED (cert verify failure)
のエラーでつまづいています。
[環境]
* Fedora Core 5
* Kernel 2.6.15-1.2054_FC5, 2.6.17-1.2174_FC5
* OpenSSL 0.9.8a-5.3
* Stunnel 4.14-3.2
* Mew 5.1
[作業の流れ]
1. ~/.emacs.el, ~/.mew.el に設定を行いました。
2. ~/.certs 以下に証明書をコピーしました。
> $ cp /etc/pki/tls/cert.pem ~/.certs/`openssl x509 -hash -noout
-in /etc/pki/tls/cert.pem`.0
2-1. Windows 2000 の証明書ストアからエクス
ポートした PKCS7 形式の証明書を PEM 形
式に変換し、 ~/.certs 以下に証明書をコ
ピーしました。
> $ openssl pkcs7 -inform DER -in ~/tmp/export.p7b -out
~/tmp/export.pem -outform PEM -print_certs
> $ cp ~/tmp/export.pem ~/.certs/`openssl x509 -hash -noout
-in ~/tmp/export.pem`.0
3. Emacs の起動後、 Mew を起動すると、
> Creating an SSL/TLS connection...FAILED (cert verify failure)
のエラーで失敗しました。
4. openssl s_client で確認すると、
> $ openssl s_client -connect pop.gmail.com:995 -CAfile ~/.certs/12345678.0
> ...途中省略...
> Verify return code: 0 (ok)
と検証に成功しているように見えます。
5. ~/.mew.el で mew-ssl-verify-level を 0 にす
ると、サーバに接続することができますが、そ
れ以外(1, 2, 3)に変更すると、証明書の検証エ
ラーが発生し、サーバに接続することができま
せんでした。
[~/.emacs.el]
(autoload 'mew "mew" nil t)
(autoload 'mew-send "mew" nil t)
(if (boundp 'read-mail-command)
(setq read-mail-command 'mew))
(autoload 'mew-user-agent-compose "mew" nil t)
(if (boundp 'mail-user-agent)
(setq mail-user-agent 'mew-user-agent))
(if (fboundp 'define-mail-user-agent)
(define-mail-user-agent
'mew-user-agent
'mew-user-agent-compose
'mew-draft-send-message
'mew-draft-kill
'mew-send-hook))
[~/.mew.el]
(setq mew-prog-ssl "/usr/sbin/stunnel")
(setq mew-ssl-cert-directory "~/.certs")
;; (setq mew-ssl-verify-level 0) ;; 送受信可能
;; (setq mew-ssl-verify-level 1) ;; 検証エラー発生
(setq mew-ssl-verify-level 2) ;; 検証エラー発生
;; (setq mew-ssl-verify-level 3) ;; 検証エラー発生
(setq mew-user "chienakamado")
(setq mew-mail-domain "gmail.com")
(setq mew-pop-user "chienakamado at example.com")
(setq mew-pop-auth 'pass)
(setq mew-pop-ssl t)
(setq mew-pop-delete nil)
(setq mew-pop-server "pop.gmail.com")
(setq mew-pop-ssl-port "995")
(setq mew-smtp-user "chienakamado at example.com")
(setq mew-smtp-ssl t)
(setq mew-smtp-server "smtp.gmail.com")
(setq mew-smtp-ssl-port "465")
[デバッグログ]
<SSL/TLS: >
2006.09.12 19:35:29 LOG5[3619:3086235328]: stunnel 4.14 on
i386-redhat-linux-gnu PTHREAD+POLL+IPv6+LIBWRAP with OpenSSL 0.9.8a 11
Oct 2005
2006.09.12 19:35:29 LOG7[3619:3086235328]: Snagged 64 random bytes
from /home/chie/.rnd
2006.09.12 19:35:29 LOG7[3619:3086235328]: Wrote 1024 new random bytes
to /home/chie/.rnd
2006.09.12 19:35:29 LOG7[3619:3086235328]: RAND_status claims
sufficient entropy for the PRNG
2006.09.12 19:35:29 LOG6[3619:3086235328]: PRNG seeded successfully
2006.09.12 19:35:29 LOG7[3619:3086235328]: Verify directory set to
/home/chie/.certs
2006.09.12 19:35:29 LOG5[3619:3086235328]: Peer certificate location
/home/chie/.certs
2006.09.12 19:35:29 LOG6[3619:3086235328]: file ulimit = 1024 (can be
changed with 'ulimit -n')
2006.09.12 19:35:29 LOG6[3619:3086235328]: poll() used - no FD_SETSIZE
limit for file descriptors
2006.09.12 19:35:29 LOG5[3619:3086235328]: 500 clients allowed
2006.09.12 19:35:29 LOG7[3619:3086235328]: FD 3 in non-blocking mode
2006.09.12 19:35:29 LOG7[3619:3086235328]:
<SSL/TLS: >
FD 4 in non-blocking mode
2006.09.12 19:35:29 LOG7[3619:3086235328]: FD 5 in non-blocking mode
2006.09.12 19:35:29 LOG7[3619:3086235328]: SO_REUSEADDR option set on
accept socket
2006.09.12 19:35:29 LOG7[3619:3086235328]: 11766 bound to 127.0.0.1:11766
2006.09.12 19:35:29 LOG7[3619:3086235328]: No pid file being created
<SSL/TLS: >
2006.09.12 19:35:29 LOG7[3619:3086235328]: 11766 accepted FD=6 from
127.0.0.1:38514
<SSL/TLS: >
2006.09.12 19:35:29 LOG7[3619:3086232480]: 11766 started
<SSL/TLS: >
2006.09.12 19:35:29 LOG7[3619:3086232480]: FD 6 in non-blocking mode
<SSL/TLS: >
2006.09.12 19:35:29 LOG7[3619:3086232480]: FD 7 in non-blocking mode
2006.09.12 19:35:29 LOG7[3619:3086232480]: FD 8 in non-blocking mode
<SSL/TLS: >
2006.09.12 19:35:29 LOG7[3619:3086232480]: Connection from
127.0.0.1:38514 permitted by libwrap
<SSL/TLS: >
2006.09.12 19:35:29 LOG5[3619:3086232480]: 11766 connected from 127.0.0.1:38514
2006.09.12 19:35:29 LOG7[3619:3086232480]: FD 7 in non-blocking mode
2006.09.12 19:35:29 LOG7[3619:3086232480]: 11766 connecting 64.233.163.111:995
2006.09.12 19:35:29 LOG7[3619:3086232480]: connect_wait: waiting 10 seconds
<SSL/TLS: >
2006.09.12 19:35:29 LOG7[3619:3086235328]: Cleaning up the signal pipe
2006.09.12 19:35:29 LOG6[3619:3086235328]: Child process 3621 finished
with code 0
<SSL/TLS: >
2006.09.12 19:35:30 LOG7[3619:3086232480]: connect_wait: connected
2006.09.12 19:35:30 LOG7[3619:3086232480]: Remote FD=7 initialized
2006.09.12 19:35:30 LOG7[3619:3086232480]: SSL state (connect):
before/connect initialization
2006.09.12 19:35:30 LOG7[3619:3086232480]: SSL state (connect): SSLv3
write client hello A
<SSL/TLS: >
2006.09.12 19:35:30 LOG7[3619:3086232480]: SSL state (connect): SSLv3
read server hello A
<SSL/TLS: >
2006.09.12 19:35:30 LOG4[3619:3086232480]: VERIFY ERROR: depth=0,
error=unable to get local issuer certificate:
/C=US/ST=California/L=Mountain View/O=Google Inc./CN=pop.gmail.com
2006.09.12 19:35:30 LOG7[3619:3086232480]: SSL alert (write): fatal:
bad certificate
2006.09.12 19:35:30 LOG3[3619:3086232480]: SSL_connect: 14090086:
error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate
verify failed
2006.09.12 19:35:30 LOG7[3619:3086232480]: 11766 finished (0 left)
--
なかまどちえ <chienakamado at example.com>
Mew-dist メーリングリストの案内