Certyfikaty serwera musza być podpisane przez urząd certyfikacji. Aby móc podpisywać własne certyfikaty musimy wygenerować CA.
przejdź do katalogu
# cd /usr/share/ssl/misc

i wpisz komendę
# ./CA.pl -newca

Odpowiedz na wszystkie pytania.
2. Następnie generujemy klucz publiczny i prywatny dla Postfixa.
# /usr/bin/openssl req -new -nodes -keyout mailkey.pem -out mailreq.pem -days 365

Polecenie to tworzy jednocześnie klucz prywatny i CSR (certificate signing request).
Opcje:
-keyout mailkey.pem wskazuje nazwę klucza prywatnego
-out mailreq.pem wskazuje nazwę pliku CSR
-days 365 ważność certyfikatu to 365 dni

Po wywołaniu komendy otrzymujemy plik:
mailkey.pem
mailreq.pem

Teraz podpisujemy mailreq.pem poleceniem.
# /usr/bin/openssl/openssl ca -out mail_signed_cert.pem -infiles mailreq.pem

Po wywołaniu komendy otrzymujemy plik:
mail_signed_cert.pem

Następnie tworzymy katalog:
/etc/postfix/ssl
i prznosimy pliki:

mailkey.pem
mail_signed_cert.pem
cacert.pem

Ponieważ wygenerowaliśmy klucz prywatny bez zaszyfrowania, musimy go chronić, używając jak najbardziej ograniczonych uprawnień.
W katalogu:
/etc/postfix/ssl

# chown root mailkey.pem
# chmod 400 mailkey.pem

3. Teraz edytujemy plik main.cf dla TLS:

smtpd_use_tls = yes
smtpd_tls_key_file = /etc/postfix/ssl/mailkey.pem
smtpd_tls_cert_file = = /etc/postfix/ssl/mail_signed_cert.pem
smtpd_tls_CAfile = = /etc/postfix/ssl/cacert.pem

4. Przeładuj Postfix
# postfix reload

Last Modified: Thursday, January 4th, 2007 @ 02:18

This entry was posted on Thursday, January 4th, 2007 at 2:14 am and is filed under Linux. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.