Installation für Postfix: Unterschied zwischen den Versionen
Keine Bearbeitungszusammenfassung |
|||
| (5 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 6: | Zeile 6: | ||
<source lang=bash> | <source lang=bash> | ||
openssl req -new -newkey rsa:2048 -keyout /etc/ssl/private/domain.de.key -out /home/user/csr.txt -nodes | openssl req -new -newkey rsa:2048 -keyout /etc/ssl/private/domain.de.key -out /home/user/csr.txt -nodes -sha256 | ||
</source> | </source> | ||
| Zeile 22: | Zeile 22: | ||
<source lang=bash> | <source lang=bash> | ||
# TLS wird als Option angeboten. | |||
smtpd_tls_security_level = may | smtpd_tls_security_level = may | ||
#Pfad zur RSA Schluesseldatei | |||
smtpd_tls_key_file = /etc/ssl/private/domain.de.key | smtpd_tls_key_file = /etc/ssl/private/domain.de.key | ||
#Pfad zum RSA Zertifikat | |||
smtpd_tls_cert_file = /etc/ssl/certs/domain.de.crt | smtpd_tls_cert_file = /etc/ssl/certs/domain.de.crt | ||
smtpd_tls_CApath = /etc/ssl/certs/ | smtpd_tls_CApath = /etc/ssl/certs/ | ||
smtpd_tls_CAfile = /etc/ssl/certs/CA_INT_chain.crt | smtpd_tls_CAfile = /etc/ssl/certs/CA_INT_chain.crt | ||
# wir schreiben Informationen zu Cipher, client und issuer CN in die Header. | |||
# Die Information ist nicht zwingend akkurat. | |||
smtpd_tls_received_header = yes | smtpd_tls_received_header = yes | ||
smtpd_tls_loglevel=1 | |||
# Loglevel wird auf 1 gestellt, eine Zusammenfassung wird mitgeschrieben | |||
smtpd_tls_loglevel = 1 | |||
smtpd_tls_session_cache_database = btree:/var/lib/postfix/smtpd_scache | smtpd_tls_session_cache_database = btree:/var/lib/postfix/smtpd_scache | ||
# Einstellungen fuer den Postfix SMTP Client | |||
smtp_tls_security_level = may | |||
smtp_tls_note_starttls_offer = yes | smtp_tls_note_starttls_offer = yes | ||
smtp_tls_key_file = /etc/ssl/private/domain.de.key | smtp_tls_key_file = /etc/ssl/private/domain.de.key | ||
| Zeile 40: | Zeile 51: | ||
smtp_tls_CApath = /etc/ssl/certs/ | smtp_tls_CApath = /etc/ssl/certs/ | ||
smtpd_tls_CAfile = /etc/ssl/certs/CA_INT_chain.crt | smtpd_tls_CAfile = /etc/ssl/certs/CA_INT_chain.crt | ||
smtp_tls_loglevel=1 | smtp_tls_loglevel = 1 | ||
# Zufallszahlen Quelle fuer TLS | |||
tls_random_source = dev:/dev/urandom | tls_random_source = dev:/dev/urandom | ||
# Einstellungen fuer Forward Secrecy | |||
smtpd_tls_dh1024_param_file = /etc/postfix/ssl/dh1024.pem | |||
smtpd_tls_dh512_param_file = /etc/postfix/ssl/dh512.pem | |||
smtpd_tls_eecdh_grade = strong | smtpd_tls_eecdh_grade = strong | ||
tls_eecdh_strong_curve = prime256v1 | tls_eecdh_strong_curve = prime256v1 | ||
tls_eecdh_ultra_curve = secp384r1 | tls_eecdh_ultra_curve = secp384r1 | ||
</source> | </source> | ||
=Weiterführende Links= | |||
# Postfix Dokumentation zu [http://www.postfix.org/FORWARD_SECRECY_README.html Forward Secrecy] | |||
# Postfix Dokumentation zu [http://www.postfix.org/TLS_README.html Postfix TLS Support] | |||
# [https://icertificate.eu/de/ssl/anwendungsbereiche/ssl-zertifikate-fuer-mailserver.html SSL Zertifikate für Mailserver] | |||
Aktuelle Version vom 16. Oktober 2015, 11:49 Uhr
Generierung eines CSR
Für die Anforderung eines SSL Zertifikates ist es notwendig einen CSR (Certificate Signing Request/Zertifikatsanforderung) zu erzeugen.
Die kann per SSH oder über eine direkt Konsole auf dem Server erfolgen:
<source lang=bash> openssl req -new -newkey rsa:2048 -keyout /etc/ssl/private/domain.de.key -out /home/user/csr.txt -nodes -sha256 </source>
Besitzt man bereits ein Schlüsselpaar kann der CSR auch folgender Maßen erzeugt werden:
<source lang=bash> openssl req -new -key /etc/ssl/private/domain.de.key -out /home/user/csr.txt </source>
Einrichten des SSL Zertifikates
Die Konfiguration in Postfix erfolgt über die Datei /etc/postfix/main.cf.
Dabei müssen der Konfiguration folgende Einträge hinzugefügt werden, bzw müssen diese gegebenenfalls angepasst werden.
<source lang=bash>
- TLS wird als Option angeboten.
smtpd_tls_security_level = may
- Pfad zur RSA Schluesseldatei
smtpd_tls_key_file = /etc/ssl/private/domain.de.key
- Pfad zum RSA Zertifikat
smtpd_tls_cert_file = /etc/ssl/certs/domain.de.crt
smtpd_tls_CApath = /etc/ssl/certs/
smtpd_tls_CAfile = /etc/ssl/certs/CA_INT_chain.crt
- wir schreiben Informationen zu Cipher, client und issuer CN in die Header.
- Die Information ist nicht zwingend akkurat.
smtpd_tls_received_header = yes
- Loglevel wird auf 1 gestellt, eine Zusammenfassung wird mitgeschrieben
smtpd_tls_loglevel = 1
smtpd_tls_session_cache_database = btree:/var/lib/postfix/smtpd_scache
- Einstellungen fuer den Postfix SMTP Client
smtp_tls_security_level = may smtp_tls_note_starttls_offer = yes smtp_tls_key_file = /etc/ssl/private/domain.de.key smtp_tls_cert_file = /etc/ssl/certs/domain.de.crt smtp_tls_CApath = /etc/ssl/certs/ smtpd_tls_CAfile = /etc/ssl/certs/CA_INT_chain.crt smtp_tls_loglevel = 1
- Zufallszahlen Quelle fuer TLS
tls_random_source = dev:/dev/urandom
- Einstellungen fuer Forward Secrecy
smtpd_tls_dh1024_param_file = /etc/postfix/ssl/dh1024.pem smtpd_tls_dh512_param_file = /etc/postfix/ssl/dh512.pem smtpd_tls_eecdh_grade = strong tls_eecdh_strong_curve = prime256v1 tls_eecdh_ultra_curve = secp384r1 </source>
Weiterführende Links
- Postfix Dokumentation zu Forward Secrecy
- Postfix Dokumentation zu Postfix TLS Support
- SSL Zertifikate für Mailserver
