[Postfixbuch-users] Postfix & TLS

Werner Flamme w.flamme at web.de
So Feb 23 02:02:25 CET 2014 

[22.02.2014 16:50] [sebastian at debianfan.de]:
> Hallo zusammen,
> 
> ich habe jetzt für die Absicherung des Mailservers an das Thema SSL gedacht.

[SASL-Logs gelöscht]

> Ich hatte vorher ein selbsterstelltes "Beispielzertifikat" drin - da hat 
> Thunderbird zwar nachgefragt aber grundsätzlich funktionierte es.
> 
> Bei psw gibts für 30 Tage ein kostenloses Testzertifikat - zumindest 
> hätte ich dann die Chance zu erkennen ob die Geräte diese Zertifikate 
> akzeptieren ohne zu murren.
> 
> Die csr-Datei habe ich bei psw eingereicht und eine ganze Menge Dateien 
> in einer zip-Datei wiederbekommen.
> 
> Attached to this email, you should find a certificate.zip file containing:
> - Linux (pem+cabundle)
> - - cert.cabundle         (containing PositiveSSL CA 2)
> - - certificate.crt       (containing your certificate)
> - Plesk (Certificate+CACertificate)
> - - cacertcertificate.crt (containing PositiveSSL CA 2)
> - - certificate.crt       (containing your certificate)
> - Windows (pem)
> - - intermediate1.crt     (containing PositiveSSL CA 2)
> - - certificate.crt       (containing your certificate)
> - Sonstige (pem)
> - - root.crt              (containing AddTrust External CA Root)
> - - intermediate1.crt     (containing PositiveSSL CA 2)
> - - certificate.crt       (containing your certificate)
> - Sonstige (pkcs7)
> - - certificate.cer       (containing all certificate)
> 
> So wie ich die Dokumentationen verstehe, setze ich die .key-Datei hier ein:
> 
> smtpd_tls_key_file = /etc/ssl/private/domain.key
> 
> Aber die andere Datei ist ja die signierte Datei von psw - aber welche 
> der obigen nehme ich dafür.
> 
> smtpd_tls_cert_file = /etc/ssl/certs/ ?????

Was ist in cert.cabundle und certificate.cer enthalten? Nur die CA? In
welchem Format, PEM? Für certificate.cer könntest Du nachsehen mit
"openssl pkcs7 -in certificate.cer -print_certs". Wenn da vom Root- bis
zu Deinem Zertifikat alles drin ist und es kein PEM ist, kannst Du es in
eine PEM-Datei umwandeln und die dann angeben (openssl pkcs7 -in
certificate.cer -out certificate.cer.pem -outform PEM).

Sonst hänge die PEMs hintereinander: cat root.crt intermediate1.crt
certificate.crt > allezert.pem

Und dann smtpd_tls_cert_file = allezert.pem (mit Pfad).

Damit Thunderbird nicht mehr fragt, muss es allerdings der Root-CA
vertrauen, also wohl AddTrust External CA Root. Das scheint im
Auslieferungszustand der Fall zu sein.

> Angesichts der Postfix-Fehlermeldungen habe ich hier die falsche ausgewählt.

Wissen wir nicht. Die zitierten Postfix-Meldungen bezogen sich auf SASL,
nicht auf SSL :-P

Gruß
Werner
--

Mehr Informationen über die Mailingliste Postfixbuch-users