Auf Seite 595 ff. der 3. Auflage ist auch beschrieben, wie man Zertifikate erstellt.
Leider hat sich dabei ein kleiner Fehler eingeschlichen, der natürlich in einer neueren Version wieder ausgebügelt sein wird (nicht Peer? ;)).
Also zum Mitschreiben.....
Neues CA erstellen (Pfad stammt aus einer Ubuntu Installation)
/usr/lib/ssl/misc/CA.pl -newca
Request erstellen
/usr/lib/ssl/misc/CA.pl -newreq(Passwort des Root CA angeben)
Wichtig
Common Name (e.g. server FQDN or YOUR name) []:
Hier muss der FQDN des Mailservers stehen, z.B. mx1.example.com
Dann das Client Zertifikat signieren mit
/usr/lib/ssl/misc/CA.pl -sign
Nun muss man noch das Passwort des neuen Zertifikates entfernen, damit Postfix ohne Rückfrage starten kann.
Hier fehlen im Postfixbuch die Anweisungen -in und -out.
openssl rsa -in newkey.pem -out key.pem
Damit nicht jeder lesen kann, die Rechte mit
chmod 400 *.pem
setzen. Auch im Verzeichnis demoCA (falls angelegt) und demoCA/private.
In Postfix braucht es nur eine Anweisung und drei Pfade:
smtpd_tls_CAfile = /etc/postfix/ssl/cacert.pem
smtpd_tls_cert_file = /etc/postfix/cert.pem
smtpd_tls_key_file = /etc/postfix/ssl/key.pem
smtpd_use_tls = yes
Wenn Dovecot installiert ist, kann man die gleichen Zertifikate zum Abruf der Emails verwenden.
Datei:
/etc/dovecot/conf.d/10-ssl.conf
## Meine Zertifikate
ssl_cert = </etc/postfix/cert.pem
ssl_key = </etc/postfix/key.pem
SSL aktivierern dort mit
ssl = yes (oder required)Protokoll ergänzen in der dovecot.conf
protocols = imap pop3 lmtp sieve imaps
Verbindung testen:
openssl s_client -starttls smtp -crlf -connect localhost:25
Keine Kommentare:
Kommentar veröffentlichen