Postfix: RSA 2048 bits

Les clés publiques à 1024 bits, c'est pas bien.
Les signatures en “sha1”, c'est bientôt obsolete.

~~READMORE~~

On peut voir ça comme ça:

$ echo | openssl s_client -connect <serveur>:25 -starttls smtp
...
New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
Server public key is 1024 bit
...

Ou directement sur le fichier PEM:

$ openssl x509 -in /etc/ssl/certs/<LE_FICHIER>.pem -noout -text
...
        Signature Algorithm: sha1WithRSAEncryption
...
          RSA Public Key: (1024 bit)
...  

Donc, on passe a 2048 bits, et c'est reparti jusqu'en 2030.

# cd /etc/ssl/private
# openssl genrsa 2048 > ssl-cert-mx0-eez-fr-2048.key
# cd ../certs

Si nécessaire, récupérer l'ancien “subject” (ou faut retaper):

# openssl x509 -in ssl-cert-mx0-eez-fr.pem -noout -subject
subject= /C=FR/ST=France/L=Paris/O=Eez.fr/CN=mx0.eez.fr/emailAddress=postmaster@eez.fr
# openssl req -new -key ../private/ssl-cert-mx0-eez-fr-2048.key -x509 -sha256 -days 3650 \
  -out ssl-cert-mx0-eez-fr-2048.pem \
  -batch -subj "/C=FR/ST=France/L=Paris/O=Eez.fr/CN=mx0.eez.fr/emailAddress=postmaster@eez.fr"
:!: Ne pas oublier “-sha256” minimun
# dpkg-reconfigure ca-certificates

Pour recreer à la “c_rehash” les liens symboliques.

Reste plus qu'a changer les noms de fichiers dans la conf de Postfix (“/etc/postfix/main.cf”) :

smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-mx0-eez-fr-2048.pem
smtpd_tls_key_file=/etc/ssl/private/ssl-cert-mx0-eez-fr-2048.key
# postfix check
# postfix reload

Voila.