ReLoad

Thierry Jaouen ~ WikiBlog
"Rien à foutre d'être lu, tant que je peux me relire."

Outils pour utilisateurs

Outils du site


blog:2013:03:31:postfix_ssl

Table des matières

Postfix et SSL

Postfix utilise SSL pour chiffrer les communications smtp .

Quelques commandes simples, notamment pour voir et changer les clefs de chiffrements.

~~READMORE~~

Voir

Par défaut, la configuration de Postfix dans main.cf nous dit ça:

# TLS parameters
smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
smtpd_use_tls=yes

Examinons ce que dit le fichier /etc/ssl/certs/ssl-cert-snakeoil.pem :
(Pas besoin d'être root, ce sont des infos public)

$ openssl x509 -in /etc/ssl/certs/ssl-cert-snakeoil.pem -noout -text
... blabla ...
      Issuer: CN=mx1.local.eez.fr
      Validity
          Not Before: Mar 18 18:28:26 2013 GMT
          Not After : Mar 16 18:28:26 2023 GMT
      Subject: CN=mx1.local.eez.fr
      Subject Public Key Info:
          Public Key Algorithm: rsaEncryption
          RSA Public Key: (2048 bit)
... etc ...

C'est bien, mais un petit détail me gène, bien que tout fonctionne:
mx1.local.eez.fr est un nom interne. Ce n'est pas le nom public (FQDN).

Donc, je vais devoir créer de nouvelles clefs.

Créer clef

Source: http://wiki.debian.org/SSLkeys#Generic_PEM_Generation

# export NAME=mx1-eez-fr
# cd /etc/ssl/private
# openssl genrsa 2048 > ssl-cert-${NAME}.key
# cd /etc/ssl/certs
# openssl req -new -key ../private/ssl-cert-${NAME}.key -x509 -days 3650 -out ssl-cert-${NAME}.pem

Repondre aux questions:

Country Name: FR
State or Province: France
Locality: Paris
Organisation Name: eez.fr Corp
Organisation Unit Name: mx
Common Name: mx1.eez.fr
Email Address: postmaster_nospam@eez.fr

Le “Common Name” doit être le FQDN du (frontal) de mail.

Postfix

Modifier le fichier /etc/postfix/main.cf pour avoir:

smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-mx1-eez-fr.pem
smtpd_tls_key_file=/etc/ssl/private/ssl-cert-mx1-eez-fr.key

Et enfin:

# postfix reload

Voila.

blog/2013/03/31/postfix_ssl.txt · Dernière modification : 2013/03/31 01:16 de thierry