Als erstes müssen wir ein Zertifikat und eine digitale Signatur erstellen. Vom Terminal aus greifen wir auf das Verzeichnis / etc / pki / tls / zu
cd / etc / pki / tls /
Dann generierten wir die digitale Signatur, die mit dem DSA-Algorithmus von 1024 Oktetten erstellt wurde. Für die Verwendung von bereits installiertem openssl generieren wir die Signatur mit dem folgenden Befehl.
openssl dsaparam 1024 -out dsa1024.pem
Anschließend wird aus der erstellten Datei der DSA-Parameter ein Schlüssel mit DSA-Algorithmus und -Struktur x509 sowie das Zertifikat erstellt. Ich gebe Ihnen jetzt ein Beispiel, das eine Gültigkeit von 1095 Tagen (drei Jahren) festlegt, für die wir ein erstelltes Zertifikat erstellt haben.
openssl req -x509 -nodes -newkey dsa: dsa1024.pem -days 1095 -out certs / smtp.crt -keyout private / smtp.key
Sobald der vorherige Schritt abgeschlossen ist, können wir (aus Sicherheitsgründen) die Parameterdatei dsa1024, pem entfernen (verwenden Sie den Befehl rm und löschen Sie sie). Jetzt haben wir 2 Dateien erstellt: den Schlüssel und das Zertifikat, daher müssen wir ihnen nur Leserechte geben, dies wird nicht vergessen.
chmod 400 certs / smtp.crt chmod 400 private / smtp.key
Nun müssen wir mit dem folgenden Befehl in das Verzeichnis / etc / pki / dovecot / gehen
cd / etc / pki / dovecot /
Wir können alle generischen Zertifikate löschen, um nicht verwendete Dateien zu bereinigen
rm -f privat / dovecot.pem certs / dovecot.pem
Dann müssen wir die digitale Signatur und das Zertifikat für Dovecot erstellen, bei dem es sich um den IMAP- und POP3-Server handelt. Für Dovecot muss ein Schlüssel mit einem RSA-Algorithmus von 1024 Oktetten mit der Struktur X.509 verwendet werden. Im folgenden Beispiel wird für das erstellte Zertifikat eine Gültigkeit von 1095 Tagen (drei Jahren) festgelegt. Wir schaffen den Schlüssel
openssl req -x509 -nodes -newkey rsa: 1024 -days 1095 -out certs / dovecot.pem -keyout private / dovecot.pem
Wir erstellen das Zertifikat
openssl x509 -subject -fingerprint -noout -in certs / dovecot.pem
Die Lesegenehmigungen erteilen wir nur für die Zertifikate
chmod 400 private / dovecot.pem certs / dovecot.pem
Zuletzt konfigurieren wir Postfix. Wir kehren zum Stammverzeichnis zurück und bearbeiten die Datei /etc/postfix/master.cf
In den Dateien müssen wir das # vor den Zeilen entfernen, damit sie nicht kommentiert werden und dann ausgeführt werden können.
smtp inet n - n - smtpd Einreichung inet n - n - - smtpd -o smtpd_tls_security_level = verschlüsseln -o smtpd_sasl_auth_enable = yes -o smtpd_client_restrictions = allow_sasl_authenticated, ablehnen -o milter_macro_daemon_name = URSPRUNG smtps inet n - n - - smtpd -o smtpd_tls_wrappermode = yes -o smtpd_sasl_auth_enable = yes -o smtpd_client_restrictions = allow_sasl_authenticated, ablehnen -o milter_macro_daemon_name = URSPRUNG
Dann konfigurieren wir /etc/postfix/main.cf, wo wir die Zeilen mit der generischen Domain ändern, indem wir:
# Definieren Sie den Hostnamen des Systems (Hostname). myhostname = mail.domain.com # Definieren Sie die zu verwaltende Hauptdomäne. mydomain = domain.com
In der Datei /etc/dovecot/conf.d/10-ssl.conf müssen wir auch die folgenden Zeilen auskommentieren :
ssl = ja ssl_cert = </etc/pki/dovecot/certs/dovecot.pem ssl_key = </etc/pki/dovecot/private/dovecot.pem
Wir starten die Dienste so, dass die Zertifikate erkannt werden und fügen mit dem Befehl service XXX start diese Dienste dem Systemstart hinzu.
chkconfig dovecot on chkconfig postfix on Service saslauthd starten Service Taubenschlag starten Service Postfix Neustart
Auf diese Weise verfügen wir über ein gut konfiguriertes und aktives TLS, um unsere E-Mails sowohl beim Empfangen als auch beim Senden zu verschlüsseln. Ich hoffe, Sie finden es nützlich, wie ich vor nicht allzu langer Zeit gebraucht habe.
