#language cs ## 10.08.2015 AK ---- '''česky''' | [[PostfixConfiguration|english]] ---- == Konfigurace Postfix-TLS/Cyrus-SSL == Tato stránka Vám ukáže, jak konfigurovat Postfix pro podporu TLS s použitím certifikátu. Tento příklad byl použit v systému Debian, ale bude podobný ve většině jiných systémů [UNIX-Linux]. === Vygenerování žádosti o certifikát pro server ve Vašem sídle === Potřebujete si pořídit certifikát, například takto: {{{ cd /etc/ssl/private openssl req -nodes -new -keyout server.key -out server.csr }}} a doplněním povinných údajů, které si program vyžádá. (!) POZOR! Zajistěte, aby všechny Vaše záznamy MX v DNS odkazovaly na tento server použitím téhož názvu stroje (hostname), jinak můžete mít potíže a budete muset vygenerovat certifikáty s několika názvy stroje; nahlédněte také do VhostTaskForce (zvláště skripty na konci) obsahující více informací o této záležitosti. === Generování certifikátu CACert === Vložte obsah souboru server.csr do formuláře webu CAcert, předem ověřte své domény atd. Když se zobrazí Váš nový certifikát, otevřete soubor /etc/ssl/certs/server.crt a vložte do něj obsah certifikátu. /!\ V současnosti (21.10.2005) je tlačítko volby [certifikátu třídy 3] ignorováno a vždy se generuje certifikát třídy 1, i když požadujete třídu 3. To patrně způsobuje problém s openssl považujícím kořenový certifikát CAcert třídy 1 za "sám-sebou-podepsaný" (self-signed) -- JonasSmedegaard <> Tato poznámka již neplatí. Žádal jsem certifikát třídy 3 a dostal jsem ho. -- ChrisSutton <> === Změny konfiguračních souborů Postfix === Konfigurace rozdělovacího souboru - upravte soubor /etc/postfix/main.cf a odkomentujte nebo přidejte na konec: {{{ ### Zabezpečení transportní vrstvy (Transport Layer Security, TLS) ### # TLS na straně serveru smtpd_use_tls = yes # Soubor privátního klíče smtpd_tls_key_file = /etc/ssl/private/server.key # Klíč, který jste vygenerovali u CAcert.org smtpd_tls_cert_file = /etc/ssl/certs/server.crt # CAcert - kořenový klíč třídy 3 z http://www.cacert.org/certs/class3.crt smtpd_tls_CAfile = /etc/ssl/certs/cacert.crt smtpd_tls_loglevel = 1 smtpd_tls_received_header = yes smtpd_tls_session_cache_timeout = 3600s # TLS na straně klienta smtp_use_tls = yes # Soubor privátního klíče smtp_tls_key_file = /etc/ssl/private/server.key # Klíč, který jste vygenerovali u cacert.org smtp_tls_cert_file = /etc/ssl/certs/server.crt # CAcert - kořenový klíč třídy 3 z http://www.cacert.org/certs/class3.crt smtp_tls_CAfile = /etc/ssl/certs/cacert.crt # Pomocné TLS tls_random_source = dev:/dev/urandom }}} V /etc/imapd.conf {{{ tls_cert_file: /etc/ssl/certs/server.crt tls_key_file: /etc/ssl/private/server.key }}} Pak aktivujte změny: {{{ /etc/init.d/postfix restart /etc/init.d/cyrus restart }}} === Odkazy === Tyto pomocné informace pocházejí z webu CAcert a UK Indymedia dokumentů: http://www.CAcert.org/help.php http://docs.indymedia.org/view/Sysadmin/CaCertSsl Případně lze najít více informací zde: [[http://www.projektfarm.com/en/support/howto/postfix_smtp_auth_tls.html|Konfigurace SSL v Postfix]] [[http://www.iki.fi/petri.koistinen/postfix/postfix-tls-cacert.shtml|Postfix TLS s bezplatnými certifikáty CAcert.org]] Existuje také dokument o budování a instalaci balíčku Postfix RPM na Linuxu Fedora a o nastavení certifikátu CAcert: http://wiki.slugbug.org.uk/Postfix_TLS http://www.credentia.cc/certs/howto/postfix.html popisuje kroky potřebné k zapnutí ověřování certifikátů na CA podobných CAcert. ---- . CategorySoftware . CategoryConfiguration