स्टार्टएसएसएल प्रमाणपत्र स्थापित करना - पोस्टफिक्स / डवकोट / नेग्नेक्स

पिछले विषय में, मैंने एक सेवा के बारे में बात की थी जहाँ आप मुफ्त में ssl प्रमाणपत्र प्राप्त कर सकते हैं। और जैसे कि निरंतरता में मैंने वर्णन करने का फैसला किया कि उन्हें एक या दूसरे सॉफ़्टवेयर पर कैसे स्थापित किया जाए।

मैं निम्नलिखित सॉफ्टवेयर की समीक्षा करूंगा:

• पोस्टफ़िक्स
• दरबा
• nginx

उपरोक्त सभी CentOS 5.5 पर स्थापित है।

पोस्टफ़िक्स

पोस्टफिक्स के साथ मुझे सबसे ज्यादा नुकसान हुआ। ऐसा लगता है कि प्रलेखन है, उदाहरणों का एक गुच्छा, आदि, सब कुछ सरल होना चाहिए, लेकिन नहीं, दस्तावेज को फिर से पढ़ते समय रास्ते में विकल्पों की एक गुच्छा की कोशिश की, मैंने बहुत समय तक मार डाला जब तक कि सब कुछ काम करना शुरू नहीं हुआ।

ट्रेनिंग

यह समझा जाता है कि आपके पास डोमेन के लिए पहले से ही एक निजी कुंजी और प्रमाण पत्र है।

mail.example.com.key

mail.example.com.crt





आपको आवश्यक वर्ग के मध्यवर्ती सीए प्रमाण पत्र के साथ फाइल डाउनलोड करने की भी आवश्यकता है।

आप उन्हें यहां पा सकते हैं ।

नि: शुल्क प्रमाण पत्र के लिए, यह sub.class1.server.ca.pem है

इस उदाहरण में, मैं पासफ़्रेज़ के बिना एक निजी कुंजी का उपयोग करता हूं।

और इसलिए हमारे पास 3 फाइलें हैं।

mail.example.com.key

mail.example.com.crt

sub.class1.server.ca.pem





एक फ़ाइल बनाएं जो पोस्टफ़िक्स खाती है

cat mail.example.com.key mail.example.com.crt sub.class1.server.ca.pem > mail.example.com.pem





परिणामी फ़ाइल की प्रतिलिपि बनाएँ जहाँ आवश्यक हो, मैं / etc / pki / postfix /

बेशक, हम स्वामी और अधिकारों को सेट करना नहीं भूलते, क्योंकि हमारी कुंजी फ़ाइल में है।



in /etc/postfix/main.cf जोड़ें:

smtpd_tls_CAfile = /etc/pki/tls/certs/ca-bundle.crt

smtpd_tls_cert_file = /etc/pki/postfix/mail.example.com.pem #

smtpd_tls_key_file = /etc/pki/postfix/mail.example.com.pem #

smtpd_tls_session_cache_database = btree:/var/lib/postfix/smtpd_tls_session_cache

smtpd_use_tls = yes



smtp_tls_CAfile = /etc/pki/tls/certs/ca-bundle.crt

smtp_tls_session_cache_database = btree:/var/lib/postfix/smtp_tls_session_cache

smtpd_tls_security_level = may



smtpd_tls_received_header = yes

smtpd_tls_loglevel = 1

smtpd_tls_auth_only = no

tls_random_source = dev:/dev/urandom







प्रत्येक पैरामीटर का क्या मतलब है और इसके लिए क्या जिम्मेदार है, यह Postifx के लिए प्रलेखन में पाया जा सकता है

यह सत्यापित करने के लिए कि सब कुछ ठीक है, आप निम्न कमांड का उपयोग कर सकते हैं:

openssl s_client -starttls smtp -showcerts -connect localhost:25





परिणाम कुछ इस तरह लौटाना चाहिए:

SSL handshake has read 4760 bytes and written 354 bytes

---

New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA

Server public key is 4096 bit

Secure Renegotiation IS supported

Compression: NONE

Expansion: NONE

SSL-Session:

Protocol : TLSv1

Cipher : DHE-RSA-AES256-SHA

Session-ID: 418AA0ED7BA85B2B9301FA127D05DCAFABCEDC192101A6E75DD872FA3E528366

Session-ID-ctx:

Master-Key: 498FB41D5810A9768710936351DC92169B6D7DEFAHTEDBDUO60DE9349DA7EB5536F975A8BC4AF190466B637CC129A93E

Key-Arg : None

Krb5 Principal: None

Start Time: 1287331961

Timeout : 300 (sec)

Verify return code: 0 (ok)

---

250 DSN







in /etc/postfix/master.cf निम्नलिखित पंक्तियों को अनलॉक्ड करें:

smtps inet n - n - - smtpd

-o smtpd_tls_wrappermode=yes

-o smtpd_sasl_auth_enable=yes







यह सब उपसर्ग के साथ है।

दरबा

कबूतर के साथ सब कुछ बहुत सरल हो गया और इसने पहली बार मेरे लिए काम किया

ट्रेनिंग

आपके पास पहले से 3 फाइलें हैं

mail.example.com.key

mail.example.com.crt

sub.class1.server.ca.pem





कुंजी की प्रतिलिपि बनाएँ, एक प्रमाणपत्र बनाएं जो dovecot खाता है

cp mail.example.com.key /etc/pki/dovecot/private/

cat mail.example.com.crt sub.class1.server.ca.pem > /etc/pki/dovecot/certs/mail.example.com.pem







Dovecot.conf में आपको लिखना होगा:

ssl_cert_file = /etc/pki/dovecot/certs/mail.example.com.pem

ssl_key_file = /etc/pki/dovecot/private/mail.example.com.key





और निश्चित रूप से SSL सक्षम करें

ssl_listen = *

ssl = yes





और उन प्रोटोकॉल की सूची में जोड़ें जिन्हें आपको व्यक्तिगत रूप से आवश्यकता है।

protocols = pop3 pop3s imap imaps





UPD: यदि आपको IMAP और POP विभिन्न उप-डोमेन पर उपलब्ध कराने की आवश्यकता है, उदाहरण के लिए imap.example.com और pop.example.com, तो आपको प्रत्येक उप-डोमेन के लिए प्रमाणपत्र तैयार करने की आवश्यकता है जैसा कि ऊपर वर्णित है।

और dovecot.conf में निम्नलिखित परिवर्तन करें

protocol imap {

listen = 192.0.2.1:143

ssl_listen = 192.0.2.1:993

ssl_cert_file = /etc/pki/dovecot/certs/imap.example.com.pem

ssl_key_file = /etc/pki/dovecot/private/imap.example.com.key

}

protocol pop3 {

listen = 192.0.2.1:110

ssl_listen = 192.0.2.1:995

ssl_cert_file = /etc/pki/dovecot/certs/pop.example.com.pem

ssl_key_file = /etc/pki/dovecot/private/pop.example.com.key

}







इस लेख के अतिरिक्त इसके लिए Andrey_Zentavr का धन्यवाद।

nginx

उसके साथ भी, सब कुछ बहुत सरल है और सामान्य तौर पर प्रक्रिया dovecot से भिन्न नहीं होती है

Pogdotovka

आपके पास पहले से 3 फाइलें हैं

mail.example.com.key

mail.example.com.crt

sub.class1.server.ca.pem





कुंजी की प्रतिलिपि बनाएँ, एक प्रमाण पत्र बनाएं जो नगनेक्स खाती है

cp mail.example.com.key /etc/pki/nginx/private/

cat mail.example.com.crt sub.class1.server.ca.pem > /etc/pki/nginx/certs/mail.example.com.pem







nginx होस्ट के लिए कॉन्फ़िगरेशन कुछ इस तरह होना चाहिए:

server {

listen 443;

server_name mail.example.com;

ssl on;

ssl_certificate /etc/pki/nginx/certs/mail.example.com.pem;

ssl_certificate_key /etc/pki/nginx/private/mail.example.com.key;



ssl_session_timeout 5m;



ssl_protocols SSLv2 SSLv3 TLSv1;

ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;

ssl_prefer_server_ciphers on;



location / {

root /srv/www/htdocs/;

index index.html index.htm;

}

}









यह सब, मुझे आशा है कि किसी को यह विषय उपयोगी लगेगा।



UPD2: बहुमूल्य सुधार के लिए धन्यवाद रोजर ।