Installation für Postfix: Unterschied zwischen den Versionen

Aus SSLplus
Zur Navigation springen Zur Suche springen
(Die Seite wurde neu angelegt: ‚Äû= Generierung eines CSR = Für die Anforderung eines SSL Zertifikates ist es notwendig einen CSR (Certificate Signing Request/Zertifikatsanforderung) zu erzeu‚Ķ‚Äú)
 
Keine Bearbeitungszusammenfassung
 
(7 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 6: Zeile 6:


<source lang=bash>
<source lang=bash>
openssl req -new -newkey rsa:2048 -keyout /etc/ssl/private/domain.de.key -out /home/user/csr.txt -nodes
openssl req -new -newkey rsa:2048 -keyout /etc/ssl/private/domain.de.key -out /home/user/csr.txt -nodes -sha256
</source>
</source>


Zeile 17: Zeile 17:
= Einrichten des SSL Zertifikates =
= Einrichten des SSL Zertifikates =


Die Konfiguration in Postfix erfolgt über die Datei '''/etc/postfix/main.cf'''.  
Die Konfiguration in Postfix erfolgt über die Datei <nowiki>/etc/postfix/main.cf</nowiki>.  


Dabei müssen der Konfiguration folgende Einträge hinzugefügt werden, bzw müssen diese gegebenenfalls angepasst werden.
Dabei müssen der Konfiguration folgende Einträge hinzugefügt werden, bzw müssen diese gegebenenfalls angepasst werden.


<source lang=bash>
<source lang=bash>
# TLS wird als Option angeboten.
smtpd_tls_security_level = may
#Pfad zur RSA Schluesseldatei
smtpd_tls_key_file = /etc/ssl/private/domain.de.key
#Pfad zum RSA Zertifikat
smtpd_tls_cert_file = /etc/ssl/certs/domain.de.crt
smtpd_tls_CApath = /etc/ssl/certs/
smtpd_tls_CAfile = /etc/ssl/certs/CA_INT_chain.crt
# wir schreiben Informationen zu Cipher, client und issuer CN in die Header.
# Die Information ist nicht zwingend akkurat.
smtpd_tls_received_header = yes
# Loglevel wird auf 1 gestellt, eine Zusammenfassung wird mitgeschrieben
smtpd_tls_loglevel = 1
smtpd_tls_session_cache_database = btree:/var/lib/postfix/smtpd_scache
# Einstellungen fuer den Postfix SMTP Client
smtp_tls_security_level = may
smtp_tls_note_starttls_offer = yes
smtp_tls_key_file = /etc/ssl/private/domain.de.key
smtp_tls_cert_file = /etc/ssl/certs/domain.de.crt
smtp_tls_CApath = /etc/ssl/certs/
smtpd_tls_CAfile = /etc/ssl/certs/CA_INT_chain.crt
smtp_tls_loglevel = 1
# Zufallszahlen Quelle fuer TLS
tls_random_source = dev:/dev/urandom
# Einstellungen fuer Forward Secrecy
smtpd_tls_dh1024_param_file = /etc/postfix/ssl/dh1024.pem
smtpd_tls_dh512_param_file = /etc/postfix/ssl/dh512.pem
smtpd_tls_eecdh_grade = strong
tls_eecdh_strong_curve = prime256v1
tls_eecdh_ultra_curve = secp384r1
</source>
=Weiterführende Links=
# Postfix Dokumentation zu [http://www.postfix.org/FORWARD_SECRECY_README.html Forward Secrecy]
# Postfix Dokumentation zu [http://www.postfix.org/TLS_README.html Postfix TLS Support]
# [https://icertificate.eu/de/ssl/anwendungsbereiche/ssl-zertifikate-fuer-mailserver.html SSL Zertifikate für Mailserver]

Aktuelle Version vom 16. Oktober 2015, 11:49 Uhr

Generierung eines CSR

Für die Anforderung eines SSL Zertifikates ist es notwendig einen CSR (Certificate Signing Request/Zertifikatsanforderung) zu erzeugen.

Die kann per SSH oder über eine direkt Konsole auf dem Server erfolgen:

<source lang=bash> openssl req -new -newkey rsa:2048 -keyout /etc/ssl/private/domain.de.key -out /home/user/csr.txt -nodes -sha256 </source>

Besitzt man bereits ein Schlüsselpaar kann der CSR auch folgender Maßen erzeugt werden:

<source lang=bash> openssl req -new -key /etc/ssl/private/domain.de.key -out /home/user/csr.txt </source>

Einrichten des SSL Zertifikates

Die Konfiguration in Postfix erfolgt über die Datei /etc/postfix/main.cf.

Dabei müssen der Konfiguration folgende Einträge hinzugefügt werden, bzw müssen diese gegebenenfalls angepasst werden.

<source lang=bash>

  1. TLS wird als Option angeboten.

smtpd_tls_security_level = may

  1. Pfad zur RSA Schluesseldatei

smtpd_tls_key_file = /etc/ssl/private/domain.de.key

  1. Pfad zum RSA Zertifikat

smtpd_tls_cert_file = /etc/ssl/certs/domain.de.crt


smtpd_tls_CApath = /etc/ssl/certs/ smtpd_tls_CAfile = /etc/ssl/certs/CA_INT_chain.crt

  1. wir schreiben Informationen zu Cipher, client und issuer CN in die Header.
  2. Die Information ist nicht zwingend akkurat.

smtpd_tls_received_header = yes

  1. Loglevel wird auf 1 gestellt, eine Zusammenfassung wird mitgeschrieben

smtpd_tls_loglevel = 1

smtpd_tls_session_cache_database = btree:/var/lib/postfix/smtpd_scache

  1. Einstellungen fuer den Postfix SMTP Client

smtp_tls_security_level = may smtp_tls_note_starttls_offer = yes smtp_tls_key_file = /etc/ssl/private/domain.de.key smtp_tls_cert_file = /etc/ssl/certs/domain.de.crt smtp_tls_CApath = /etc/ssl/certs/ smtpd_tls_CAfile = /etc/ssl/certs/CA_INT_chain.crt smtp_tls_loglevel = 1

  1. Zufallszahlen Quelle fuer TLS

tls_random_source = dev:/dev/urandom

  1. Einstellungen fuer Forward Secrecy

smtpd_tls_dh1024_param_file = /etc/postfix/ssl/dh1024.pem smtpd_tls_dh512_param_file = /etc/postfix/ssl/dh512.pem smtpd_tls_eecdh_grade = strong tls_eecdh_strong_curve = prime256v1 tls_eecdh_ultra_curve = secp384r1 </source>

Weiterführende Links

  1. Postfix Dokumentation zu Forward Secrecy
  2. Postfix Dokumentation zu Postfix TLS Support
  3. SSL Zertifikate für Mailserver