Konfigurace Postfix-TLS/Cyrus-SSL

Tato stránka Vám ukáže, jak konfigurovat Postfix pro podporu TLS s použitím certifikátu. Tento příklad byl použit v systému Debian, ale bude podobný ve většině jiných systémů [UNIX-Linux].

Vygenerování žádosti o certifikát pro server ve Vašem sídle

Potřebujete si pořídit certifikát, například takto:

cd /etc/ssl/private
openssl req -nodes -new -keyout server.key -out server.csr

a doplněním povinných údajů, které si program vyžádá.

(!) POZOR! Zajistěte, aby všechny Vaše záznamy MX v DNS odkazovaly na tento server použitím téhož názvu stroje (hostname), jinak můžete mít potíže a budete muset vygenerovat certifikáty s několika názvy stroje; nahlédněte také do VhostTaskForce (zvláště skripty na konci) obsahující více informací o této záležitosti.

Generování certifikátu CACert

Vložte obsah souboru server.csr do formuláře webu CAcert, předem ověřte své domény atd. Když se zobrazí Váš nový certifikát, otevřete soubor /etc/ssl/certs/server.crt a vložte do něj obsah certifikátu.

/!\ V současnosti (21.10.2005) je tlačítko volby [certifikátu třídy 3] ignorováno a vždy se generuje certifikát třídy 1, i když požadujete třídu 3. To patrně způsobuje problém s openssl považujícím kořenový certifikát CAcert třídy 1 za "sám-sebou-podepsaný" (self-signed) -- JonasSmedegaard 2005-10-21 02:17:14

Tato poznámka již neplatí. Žádal jsem certifikát třídy 3 a dostal jsem ho. -- ChrisSutton 2008-07-26 22:26:49

Změny konfiguračních souborů Postfix

Konfigurace rozdělovacího souboru - upravte soubor /etc/postfix/main.cf a odkomentujte nebo přidejte na konec:

### Zabezpečení transportní vrstvy (Transport Layer Security, TLS) ###
# TLS na straně serveru
smtpd_use_tls = yes
# Soubor privátního klíče
smtpd_tls_key_file = /etc/ssl/private/server.key
# Klíč, který jste vygenerovali u CAcert.org
smtpd_tls_cert_file = /etc/ssl/certs/server.crt
# CAcert - kořenový klíč třídy 3 z http://www.cacert.org/certs/class3.crt
smtpd_tls_CAfile = /etc/ssl/certs/cacert.crt
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s

# TLS na straně klienta
smtp_use_tls = yes
# Soubor privátního klíče
smtp_tls_key_file = /etc/ssl/private/server.key
# Klíč, který jste vygenerovali u cacert.org
smtp_tls_cert_file = /etc/ssl/certs/server.crt
# CAcert - kořenový klíč třídy 3 z http://www.cacert.org/certs/class3.crt
smtp_tls_CAfile = /etc/ssl/certs/cacert.crt
# Pomocné TLS
tls_random_source = dev:/dev/urandom

V /etc/imapd.conf

tls_cert_file: /etc/ssl/certs/server.crt
tls_key_file: /etc/ssl/private/server.key

Pak aktivujte změny:

/etc/init.d/postfix restart
/etc/init.d/cyrus restart

Odkazy

Tyto pomocné informace pocházejí z webu CAcert a UK Indymedia dokumentů: http://www.CAcert.org/help.php http://docs.indymedia.org/view/Sysadmin/CaCertSsl

Případně lze najít více informací zde:

Konfigurace SSL v Postfix Postfix TLS s bezplatnými certifikáty CAcert.org

Existuje také dokument o budování a instalaci balíčku Postfix RPM na Linuxu Fedora a o nastavení certifikátu CAcert: http://wiki.slugbug.org.uk/Postfix_TLS

http://www.credentia.cc/certs/howto/postfix.html popisuje kroky potřebné k zapnutí ověřování certifikátů na CA podobných CAcert.


PostfixConfiguration/CZ (last edited 2015-08-10 19:39:59 by AlesKastner)