česky | english
Konfigurace Postfix-TLS/Cyrus-SSL
Tato stránka Vám ukáže, jak konfigurovat Postfix pro podporu TLS s použitím certifikátu. Tento příklad byl použit v systému Debian, ale bude podobný ve většině jiných systémů [UNIX-Linux].
Vygenerování žádosti o certifikát pro server ve Vašem sídle
Potřebujete si pořídit certifikát, například takto:
cd /etc/ssl/private openssl req -nodes -new -keyout server.key -out server.csr
a doplněním povinných údajů, které si program vyžádá.
POZOR! Zajistěte, aby všechny Vaše záznamy MX v DNS odkazovaly na tento server použitím téhož názvu stroje (hostname), jinak můžete mít potíže a budete muset vygenerovat certifikáty s několika názvy stroje; nahlédněte také do VhostTaskForce (zvláště skripty na konci) obsahující více informací o této záležitosti.
Generování certifikátu CACert
Vložte obsah souboru server.csr do formuláře webu CAcert, předem ověřte své domény atd. Když se zobrazí Váš nový certifikát, otevřete soubor /etc/ssl/certs/server.crt a vložte do něj obsah certifikátu.
![/!\](/moin_static199/cacert/img/alert.png "/!\"){kind=small}
V současnosti (21.10.2005) je tlačítko volby [certifikátu třídy 3] ignorováno a vždy se generuje certifikát třídy 1, i když požadujete třídu 3. To patrně způsobuje problém s openssl považujícím kořenový certifikát CAcert třídy 1 za "sám-sebou-podepsaný" (self-signed) -- JonasSmedegaard 2005-10-21 02:17:14
Tato poznámka již neplatí. Žádal jsem certifikát třídy 3 a dostal jsem ho. -- ChrisSutton 2008-07-26 22:26:49
Změny konfiguračních souborů Postfix
Konfigurace rozdělovacího souboru - upravte soubor /etc/postfix/main.cf a odkomentujte nebo přidejte na konec:
### Zabezpečení transportní vrstvy (Transport Layer Security, TLS) ### # TLS na straně serveru smtpd_use_tls = yes # Soubor privátního klíče smtpd_tls_key_file = /etc/ssl/private/server.key # Klíč, který jste vygenerovali u CAcert.org smtpd_tls_cert_file = /etc/ssl/certs/server.crt # CAcert - kořenový klíč třídy 3 z http://www.cacert.org/certs/class3.crt smtpd_tls_CAfile = /etc/ssl/certs/cacert.crt smtpd_tls_loglevel = 1 smtpd_tls_received_header = yes smtpd_tls_session_cache_timeout = 3600s # TLS na straně klienta smtp_use_tls = yes # Soubor privátního klíče smtp_tls_key_file = /etc/ssl/private/server.key # Klíč, který jste vygenerovali u cacert.org smtp_tls_cert_file = /etc/ssl/certs/server.crt # CAcert - kořenový klíč třídy 3 z http://www.cacert.org/certs/class3.crt smtp_tls_CAfile = /etc/ssl/certs/cacert.crt # Pomocné TLS tls_random_source = dev:/dev/urandom
V /etc/imapd.conf
tls_cert_file: /etc/ssl/certs/server.crt tls_key_file: /etc/ssl/private/server.key
Pak aktivujte změny:
/etc/init.d/postfix restart /etc/init.d/cyrus restart
Odkazy
Tyto pomocné informace pocházejí z webu CAcert a UK Indymedia dokumentů: http://www.CAcert.org/help.php http://docs.indymedia.org/view/Sysadmin/CaCertSsl
Případně lze najít více informací zde:
Konfigurace SSL v Postfix Postfix TLS s bezplatnými certifikáty CAcert.org
Existuje také dokument o budování a instalaci balíčku Postfix RPM na Linuxu Fedora a o nastavení certifikátu CAcert: http://wiki.slugbug.org.uk/Postfix_TLS
http://www.credentia.cc/certs/howto/postfix.html popisuje kroky potřebné k zapnutí ověřování certifikátů na CA podobných CAcert.