Back to site

Сертыфікаты аўтэнтыфікацыі Postfix

Усё больш шырокае выкарыстанне ноўтбукаў ставіць наступную задачу: як, каб мець магчымасць адпраўляць пошту з любой сеткі (чытай ISP) без неабходнасці змены канфігурацыі MTA (Qmail, Postfix) або MUA (Mail User Agent, Матэі, Thunderbird або KMail), і гэта бяспечна?

Найбольш распаўсюджанай з'яўляецца выкарыстанне аўтэнтыфікацыі імя карыстальніка / пароль (SASL). Для абароны пароля ў адкрытым выглядзе цячэ, выкарыстанне TLS (шыфраванне патоку). Гэта эфектыўнае рашэнне, але Настройка SASL часам можа быць цяжка.

Канфігурацыя з удзелам TLS любым выпадку стварэння, распаўсюджвання і выкарыстання сертыфікатаў могуць быць выкарыстаны пераважна аўтэнтыфікацыі асаблівасць гэтых замяніць імя карыстальніка / пароль.

Заўвага: Дадзеная артыкул не распаўсюджваецца на стварэнне сертыфікатаў.

Канфігурацыі сервера

main.cf

 
smtpd_recipient_restrictions =
       [..]
       permit_tls_clientcerts,
       [..]
 
relay_clientcerts = hash:/etc/postfix/relay_clientcerts
 
smtpd_tls_CAfile = /etc/ssl/local/asyd-dot-net-ca.pem
smtpd_tls_cert_file = /etc/ssl/local/kaoru.asyd.net.pem
smtpd_tls_key_file = /etc/ssl/local/kaoru.asyd.net.pem
smtpd_use_tls = yes
smtpd_tls_ask_ccert = yes
smtpd_tls_req_ccert = yes
smtpd_tls_ccert_verifydepth = 5
smtpd_tls_loglevel = 1

relay_clientcerts

Гэты файл складаецца з двух палёў, падзеленых прабеламі (прабел або табуляцыя):

 
5B: 57: FE: 31: CA: 69:3 D: BF: 9E: 99:22:9 D: 2B: 8B: 89:73 *. montravail.com
42:4: 62:71: DF: FC: 3D: 47: Фернанда Алонса: 27:77: D0: BB: 46:8 B: 05 *

Адбітак сертыфіката можна атрымаць з дапамогай наступнай каманды:

 
# Openssl x509-адбіткаў пальцаў noout-md5 ў файл
MD5 Fingerprint = 5B: 57: FE: 31: CA: 69:3 D: BF: 9E: 99:22:9 D: 2B: 8B: 89:73

master.cf

Праверце запіс для службы tlsmgr.

Канфігурацыя кліента

main.cf

 
relayhost = kaoru.asyd.net
 
smtp_tls_cert_file = / і г.д. / SSL / мясцовыя / laptop.pem
smtp_tls_key_file = $ smtp_tls_cert_file
smtp_tls_CAfile = / і г.д. / SSL / мясцовыя / asyd-кропка-сетка-ca.pem
smtp_tls_loglevel = 1
smtp_use_tls = ды
smtp_tls_per_site = хэш: / і г.д. / Postfix / tls_per_site
smtp_enforce_tls = ды

tls_per_site

 
<nomdns> <policy>

Палітыкі са наступным: Не, можа, павінны MUST_NOPEERMATCH

master.cf

Праверце запіс для службы tlsmgr.

Published (Last edited): May 26 , source: http://asyd.net/home/docs/system/postfix/tls