Generierung eines CSR

Für die Anforderung eines SSL Zertifikates ist es notwendig einen CSR (Certificate Signing Request/Zertifikatsanforderung) zu erzeugen.

Die kann per SSH oder über eine direkt Konsole auf dem Server erfolgen:

<source lang=bash> openssl req -new -newkey rsa:2048 -keyout /etc/ssl/private/domain.de.key -out /home/user/csr.txt -nodes </source>

Besitzt man bereits ein Schlüsselpaar kann der CSR auch folgender Maßen erzeugt werden:

<source lang=bash> openssl req -new -key /etc/ssl/private/domain.de.key -out /home/user/csr.txt </source>

Einrichten des SSL Zertifikates

Die Konfiguration in Postfix erfolgt über die Datei /etc/postfix/main.cf.

Dabei müssen der Konfiguration folgende Einträge hinzugefügt werden, bzw müssen diese gegebenenfalls angepasst werden.

<source lang=bash> smtpd_tls_security_level = may

smtpd_tls_key_file = /etc/ssl/private/domain.de.key smtpd_tls_cert_file = /etc/ssl/certs/domain.de.crt smtpd_tls_CApath = /etc/ssl/certs/ smtpd_tls_CAfile = /etc/ssl/certs/CA_INT_chain.crt smtpd_tls_received_header = yes smtpd_tls_loglevel=1 smtpd_tls_session_cache_database = btree:/var/lib/postfix/smtpd_scache smtpd_tls_dh1024_param_file = /etc/postfix/ssl/dh1024.pem smtpd_tls_dh512_param_file = /etc/postfix/ssl/dh512.pem

smtp_tls_note_starttls_offer = yes smtp_tls_key_file = /etc/ssl/private/domain.de.key smtp_tls_cert_file = /etc/ssl/certs/domain.de.crt smtp_tls_CApath = /etc/ssl/certs/ smtpd_tls_CAfile = /etc/ssl/certs/CA_INT_chain.crt smtp_tls_loglevel=1 smtp_tls_security_level = may

tls_random_source = dev:/dev/urandom

smtpd_tls_eecdh_grade = strong tls_eecdh_strong_curve = prime256v1 tls_eecdh_ultra_curve = secp384r1 </source>