blog:2015:08:15:postfix_rsa_2048_bits
Postfix: RSA 2048 bits
Les clés publiques à 1024 bits, c'est pas bien.
Les signatures en “sha1
”, c'est bientôt obsolete.
~~READMORE~~
On peut voir ça comme ça:
$ echo | openssl s_client -connect <serveur>:25 -starttls smtp ... New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA Server public key is 1024 bit ...
Ou directement sur le fichier PEM:
$ openssl x509 -in /etc/ssl/certs/<LE_FICHIER>.pem -noout -text ... Signature Algorithm: sha1WithRSAEncryption ... RSA Public Key: (1024 bit) ...
Donc, on passe a 2048 bits, et c'est reparti jusqu'en 2030.
# cd /etc/ssl/private # openssl genrsa 2048 > ssl-cert-mx0-eez-fr-2048.key
# cd ../certs
Si nécessaire, récupérer l'ancien “subject” (ou faut retaper):
# openssl x509 -in ssl-cert-mx0-eez-fr.pem -noout -subject subject= /C=FR/ST=France/L=Paris/O=Eez.fr/CN=mx0.eez.fr/emailAddress=postmaster@eez.fr
# openssl req -new -key ../private/ssl-cert-mx0-eez-fr-2048.key -x509 -sha256 -days 3650 \ -out ssl-cert-mx0-eez-fr-2048.pem \ -batch -subj "/C=FR/ST=France/L=Paris/O=Eez.fr/CN=mx0.eez.fr/emailAddress=postmaster@eez.fr"
Ne pas oublier “-sha256 ” minimun |
# dpkg-reconfigure ca-certificates
Pour recreer à la “c_rehash” les liens symboliques.
Reste plus qu'a changer les noms de fichiers dans la conf de Postfix (“/etc/postfix/main.cf
”) :
smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-mx0-eez-fr-2048.pem smtpd_tls_key_file=/etc/ssl/private/ssl-cert-mx0-eez-fr-2048.key
# postfix check # postfix reload
Voila.
blog/2015/08/15/postfix_rsa_2048_bits.txt · Dernière modification : 2015/08/15 21:37 de thierry