Installieren Sie TLS-Zertifikate in Postfix für SMTP-Server

Wir haben zunächst die Schritte für eine angemessene Sicherheit mit TLS-Verschlüsselung bei der E-Mail- und Webzustellung beschrieben. Wir gehen davon aus, dass der Server über das Betriebssystem Centos Linux verfügt, bei den anderen Distributionen ist dies jedoch ähnlich.

Als erstes müssen wir ein Zertifikat und eine digitale Signatur erstellen. Vom Terminal aus greifen wir auf das Verzeichnis / etc / pki / tls / zu

 cd / etc / pki / tls / 

Dann generierten wir die digitale Signatur, die mit dem DSA-Algorithmus von 1024 Oktetten erstellt wurde. Für die Verwendung von bereits installiertem openssl generieren wir die Signatur mit dem folgenden Befehl.

 openssl dsaparam 1024 -out dsa1024.pem 

Anschließend wird aus der erstellten Datei der DSA-Parameter ein Schlüssel mit DSA-Algorithmus und -Struktur x509 sowie das Zertifikat erstellt. Ich gebe Ihnen jetzt ein Beispiel, das eine Gültigkeit von 1095 Tagen (drei Jahren) festlegt, für die wir ein erstelltes Zertifikat erstellt haben.

 openssl req -x509 -nodes -newkey dsa: dsa1024.pem -days 1095 -out certs / smtp.crt -keyout private / smtp.key 

Sobald der vorherige Schritt abgeschlossen ist, können wir (aus Sicherheitsgründen) die Parameterdatei dsa1024, pem entfernen (verwenden Sie den Befehl rm und löschen Sie sie). Jetzt haben wir 2 Dateien erstellt: den Schlüssel und das Zertifikat, daher müssen wir ihnen nur Leserechte geben, dies wird nicht vergessen.

 chmod 400 certs / smtp.crt chmod 400 private / smtp.key 

Nun müssen wir mit dem folgenden Befehl in das Verzeichnis / etc / pki / dovecot / gehen

 cd / etc / pki / dovecot / 

Wir können alle generischen Zertifikate löschen, um nicht verwendete Dateien zu bereinigen

 rm -f privat / dovecot.pem certs / dovecot.pem 

Dann müssen wir die digitale Signatur und das Zertifikat für Dovecot erstellen, bei dem es sich um den IMAP- und POP3-Server handelt. Für Dovecot muss ein Schlüssel mit einem RSA-Algorithmus von 1024 Oktetten mit der Struktur X.509 verwendet werden. Im folgenden Beispiel wird für das erstellte Zertifikat eine Gültigkeit von 1095 Tagen (drei Jahren) festgelegt. Wir schaffen den Schlüssel

 openssl req -x509 -nodes -newkey rsa: 1024 -days 1095 -out certs / dovecot.pem -keyout private / dovecot.pem 

Wir erstellen das Zertifikat

 openssl x509 -subject -fingerprint -noout -in certs / dovecot.pem 

Die Lesegenehmigungen erteilen wir nur für die Zertifikate

 chmod 400 private / dovecot.pem certs / dovecot.pem 

Zuletzt konfigurieren wir Postfix. Wir kehren zum Stammverzeichnis zurück und bearbeiten die Datei /etc/postfix/master.cf
In den Dateien müssen wir das # vor den Zeilen entfernen, damit sie nicht kommentiert werden und dann ausgeführt werden können.

 smtp inet n - n - smtpd Einreichung inet n - n - - smtpd -o smtpd_tls_security_level = verschlüsseln -o smtpd_sasl_auth_enable = yes -o smtpd_client_restrictions = allow_sasl_authenticated, ablehnen -o milter_macro_daemon_name = URSPRUNG smtps inet n - n - - smtpd -o smtpd_tls_wrappermode = yes -o smtpd_sasl_auth_enable = yes -o smtpd_client_restrictions = allow_sasl_authenticated, ablehnen -o milter_macro_daemon_name = URSPRUNG 

Dann konfigurieren wir /etc/postfix/main.cf, wo wir die Zeilen mit der generischen Domain ändern, indem wir:

 # Definieren Sie den Hostnamen des Systems (Hostname). myhostname = mail.domain.com # Definieren Sie die zu verwaltende Hauptdomäne. mydomain = domain.com 

In der Datei /etc/dovecot/conf.d/10-ssl.conf müssen wir auch die folgenden Zeilen auskommentieren :

 ssl = ja ssl_cert = </etc/pki/dovecot/certs/dovecot.pem ssl_key = </etc/pki/dovecot/private/dovecot.pem 

Wir starten die Dienste so, dass die Zertifikate erkannt werden und fügen mit dem Befehl service XXX start diese Dienste dem Systemstart hinzu.

 chkconfig dovecot on chkconfig postfix on Service saslauthd starten Service Taubenschlag starten Service Postfix Neustart 

Auf diese Weise verfügen wir über ein gut konfiguriertes und aktives TLS, um unsere E-Mails sowohl beim Empfangen als auch beim Senden zu verschlüsseln. Ich hoffe, Sie finden es nützlich, wie ich vor nicht allzu langer Zeit gebraucht habe.

See also  So installieren und konfigurieren Sie die Shorewall-Firewall

administrator

Leave a Reply

Your email address will not be published. Required fields are marked *