POSTFIX (SMTP) + POP3 + SSL

U ycie certyfikatw niekwalifikowanych

w oprogramowaniu POSTFIX
wersja 1.1

UNIZETO TECHNOLOGIES SA
Spis tre ci
1. WST P.............................................................................................................................................................. 3

2. TWORZENIE KLUCZY I CERTYFIKATU DLA DEMONW SMTP I POP3 ......................................... 3

2.1. GENEROWANIE WNIOSKU O CERTYFIKAT (CSR) ....................................................................................... 3
2.2. TWORZENIE CERTYFIKATU NA PODSTAWIE UTWORZONEGO DANIA (CSR)........................................... 5
2.3. IMPORTOWANIE CERTYFIKATW ................................................................................................................ 6
3. INSTALOWANIE KLUCZY I CERTYFIKATU SERWERA ORAZ CERTYFIKATW CERTUM CA. 8
3.1. INSTALOWANIE KLUCZY I CERTYFIKATW W POSTFIX ............................................................................... 8
3.2. INSTALOWANIE KLUCZY I CERTYFIKATW W POP3S ................................................................................ 8
4. KONFIGUROWANIE POSTFIX DO OBSUGI PROTOKOU SMTP W OTOCZENIU SSL ............. 9

5. EKSPORT KLUCZY (DO PACZKI PFX)..................................................................................................... 9

UNIZETO TECHNOLOGIES SA
1. Wst p

Postfix jest zaawansowanym serwerem pocztowym, przeznaczonym gwnie na platform Unix. Dzi ki
wbudowanym mechanizmom bezpiecze stwa potrafi nawi za szyfrowane i autoryzowane po czenie
za pomoc protokou TLS z drugim serwerem SMTP, lub klientem poczty elektronicznej, umo liwiaj c w
ten sposb bezpieczn wymian informacji.
Niniejszy dokument zawiera instrukcj generowania unikalnej pary kluczy oraz CSR, dla serwera
Postfix. Wi cej informacji znajdziecie Pa stwo na oficjalnych stronach projektu: www.postfix.org.
Aby wa ciwie skonfigurowa po czenia SSL na linii klient-serwer potrzebne b d nast puj ce
komponenty:
Serwer MTA Postfix www.postfix.org
Demon POP3 tutaj w postaci pakietu imap-2002d-2.src.rpm
Biblioteka OpenSSL www.openssl.org
Je li Twoja dystrybucja Linuksa nie obejmuje powy szych skadnikw, ci gnij je i zainstaluj.
Zanim zabierzemy si za konfigurowanie bezpiecznych po cze pocztowych przekonajmy si czy:
Serwer DNS jest odpowiednio skonfigurowany (dodany wpis MX).
Sendmail jest skonfigurowany z protokoem SMTP.
Sendmail jest zintegrowany z agentem POP3 (lub IMAP) z paczki IMAP.
Dodani zostali u ytkownicy poczty wraz z hasami (addusr/passwd).
Klient poczty jest skonfigurowany.
... i czy cay mechanizm dziaa poprawnie.
Przy pisaniu tej instrukcji, Autor korzysta z dystrybucji: Red Hat Enterprise Linux 4.

2. Tworzenie kluczy i certyfikatu dla demonw SMTP i POP3

2.1. Generowanie wniosku o certyfikat (CSR)

W celu wygenerowania kluczy i wniosku o certyfikat, wykorzystamy zewn trzne narz dzie Openssl
ktre mo na ci gn ze strony: http://openssl.org.
Po instalacji biblioteki Openssl, wydajemy polecenie:
openssl genrsa -des3 -out server.key 1024
Polecenie to spowoduje wygenerowanie klucza prywatnego o nazwie server.key dla naszego serwera.
Klucz ten b dzie mia dugo 1024 bity i b dzie zaszyfrowany algorytmem symetrycznym 3des.
Podczas generowania klucza b dziemy poproszeni o haso, ktre zabezpieczy komponent.

POSTFIX (SMTP) + POP3 + SSL Wst p

Wersja 1.1
UNIZETO TECHNOLOGIES SA

3
Plik CSR wraz z kluczem prywatnym server.key nale y zabezpieczy na dyskietce lub innym no niku.

Po pomy lnym wygenerowaniu klucza prywatnego wydajemy polecenie:

openssl req -new -key server.key -out server.csr
Wynikiem tego polecenia jest danie certyfikatu CSR serwera, ktre zapisane zostanie w pliku
server.csr. Pami tajmy o wskazaniu pliku z kluczem prywatnym server.key. Podczas generowania
dania CSR nale y poda haso zabezpieczaj ce klucz prywatny oraz dane zwi zane z nasz firm i
serwerem poczty:
Country (C) - dwuliterowy symbol kraju (PL). Nale y u y kodu ISO, np. poprawnym kodem Polski
jest PL (du e litery), a nie pl czy RP.
State / Province (ST) - nazwa wojewdztwa, np.: Zachodniopomorskie. Nie nale y stosowa
skrtw.
City or Locality (L) - nazwa miasta lub wsi, np.: Szczecin, Kozia Wolka, Warszawa.
Organization Name (O) - pena nazwa swojej organizacji / firmy, np.: Moja Firma
Organizational Unit (OU) - je eli zachodzi taka potrzeba, mo na wypeni to pole, wstawiaj c
nazw dziau np. Oddzial w Moja Firma
Common Name (CN) - bardzo wa ne pole! Musi si tutaj znale pena nazwa DNS (fqdn) serwera
np.: www.mojserwer.pl, mojadomena.pl *.mojserwer.pl.
Uwaga: U ywanie znakw specjalnych % ^ $ _ lub polskich znakw diakrytycznych: przy
podawaniu tych informacji spowoduje nieprawidowe wygenerowanie certyfikatu!!!
Pami tajmy, e w pole Common Name musimy wpisa nazw fqdn naszego serwera, np.
poczta.mojserwer.com, pop3.mojadomena.pl, smtp.test.com.pl

POSTFIX (SMTP) + POP3 + SSL Tworzenie kluczy i certyfikatu dla demonw SMTP i POP3
Wersja 1.1
UNIZETO TECHNOLOGIES SA

4
2.2. Tworzenie certyfikatu na podstawie utworzonego dania (CSR)
Wygenerowane w kroku poprzednim danie powinno mie posta podobn jak poni ej:
-----BEGIN NEW CERTIFICATE REQUEST-----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-----END NEW CERTIFICATE REQUEST-----

Maj c wygenerowane danie wypeniamy formularz zgoszeniowy i wklejamy CSR na stronie

CERTUM (www.certum.pl -> Oferta -> Certyfikaty niekwalifikowane -> Zabezpieczanie serwerw ->
Serwery SSL i na dole strony wybieramy Kup certyfikat).

POSTFIX (SMTP) + POP3 + SSL Tworzenie kluczy i certyfikatu dla demonw SMTP i POP3
Wersja 1.1
UNIZETO TECHNOLOGIES SA

5
UWAGA: W celu wklejania certyfikatu na stronie nale y skopiowa fragment tekstu od linii "--BEGIN
CERTIFICATE --" do "--END CERTIFICATE--" (razem z tymi liniami!!!), u ywaj c do tego celu
edytora tekstowego.
Upewniamy si , e w polu E-mail jest wpisany poprawny adres (na ten adres zostan wysane dalsze
instrukcje), oraz, e zaznaczyli my pole Potwierdzam O wiadczenie i klikamy Dalej.
Pojawi si strona, na ktrej mo emy si upewni , e nasze danie CSR zostao wygenerowane na
prawidowe dane.
Uwaga: Nale y si upewni , e w polu podmiot jest wpisana poprawna nazwa naszej strony (je li
kupujemy certyfikat na domen poczta.mojserwer.com upewnijmy si , e ta nazwa widnieje w tym
polu)!!!
Upewniwszy si co do poprawno ci wprowadzonych danych klikamy Dalej:

Po wykonaniu powy szej procedury zostaniemy poinformowani stosownym e-mailem o dalszych

krokach naszych dziaa .

2.3. Importowanie certyfikatw

Po wykonaniu powy szej procedury z poprzedniego punktu otrzymamy stosownego e-maila z adresem
strony oraz numerem ID umo liwiaj cym aktywacj certyfikatu (umieszczenie certyfikatu w naszym
repozytorium dost pnym na stronach www).
Wchodzimy na stron , wklejamy ID i aktywujemy certyfikat klikaj c Dalej:

POSTFIX (SMTP) + POP3 + SSL Tworzenie kluczy i certyfikatu dla demonw SMTP i POP3
Wersja 1.1
UNIZETO TECHNOLOGIES SA

6
Pojawi si okno ze szczegami naszego certyfikatu:

Klikamy Zapisz tekstowo, aby zapisa certyfikat jako plik *.pem lub Zapisz binarnie, aby zapisa
certyfikat jako plik *.cer.
UWAGA: W przypadku utraty pliku z certyfikatem, mo emy j pobra ze strony www.certum.pl ->
Obsuga certyfikatw -> Wyszukaj certyfikat (niekwalifikowany).

Dla interesuj cego nas certyfikatu wybieramy opcj Zapisz tekstowo lub Zapisz binarnie:

UWAGA: Pobrany w ten sposb plik zawiera jedynie certyfikat serwera pozostae certyfikaty
CERTUM mo na pobra z dziau Obsuga certyfikatw -> Za wiadczenia i klucze i do czy do
pobranego pliku.

POSTFIX (SMTP) + POP3 + SSL Tworzenie kluczy i certyfikatu dla demonw SMTP i POP3
Wersja 1.1
UNIZETO TECHNOLOGIES SA

7
3. Instalowanie kluczy i certyfikatu serwera oraz certyfikatw Certum CA

Poza naszym certyfikatem trzeba jeszcze dodatkowo zainstalowa na serwerze certyfikaty CERTUM
(certyfikaty CERTUM w jednej paczce znajduj si pod adresem http://www.certum.pl/keys/ca-
bundle.crt). W paczce znajduj si wszystkie certyfikaty CERTUM: wszystkie certyfikaty po rednie (w
kolejno ci od Level I do Level IV), oraz root CA na ko cu. Mo emy doda nasz certyfikat na pocz tku
pliku ca-bundle.crt (od linii "--BEGIN CERTIFICATE --" do "--END CERTIFICATE--")

3.1. Instalowanie kluczy i certyfikatw w Postfix

Do pobranej/utworzonej paczki certyfikatw pozostaje doda klucz prywatny. Aby tego dokona
wydajemy polecenie:
#cat server.key > ca-bundle.crt
Polecenie spowoduje dopisanie klucza prywatnego do zbioru certyfikatw i zapisanie wyniku do pliku
ca-bundle.crt, ktry nale y umie ci (wg konfiguracji) w /etc/postfix.

Pami tajmy, aby klucz prywatny nie mia postaci zaszyfrowanej!!!

Aby zdj haso z klucza prywatnego, nale y wyda polecenie:

Restartujemy serwer poleceniem:

#postfix restart
Instalacja klucza prywatnego, certyfikatu serwera, certyfikatu Certum CA i certyfikatw po rednich
zostaa zako czona pomy lnie.

3.2. Instalowanie kluczy i certyfikatw w POP3S

W celu instalacji kluczy i certyfikatw nale y doda klucz prywatny (server.key) oraz pobrany/utworzony
plik z certyfikatami serwera i Certum (ca-bundle.crt) dopisa do pliku ipop3d.pem (przy instalacji paczki
nale y poda cie k dla tego pliku).
UWAGA!!! Nale y pami ta , aby klucz prywatny nie by w postaci zaszyfrowanej:

Restartujemy serwer pop3s:

#xinetd restart
Instalacja klucza prywatnego, certyfikatu serwera, certyfikatu Certum CA i certyfikatw po rednich
zostaa zako czona pomy lnie.

POSTFIX (SMTP) + POP3 + SSL Instalowanie kluczy i certyfikatu serwera oraz certyfikatw Certum CA
Wersja 1.1
UNIZETO TECHNOLOGIES SA

8
4. Konfigurowanie Postfix do obsugi protokou SMTP w otoczeniu SSL

W celu instalacji kluczy i certyfikatw w Postfix edytujemy plik master.cf i odkomentowujemy linijki
wymuszaj ce uwierzytelnianie i bezpieczne po czenie:
smtps inet n n - -smtpd -o smtpd_tls_wrappermode=yes -o
smtpd_sasl_auth_enable=yes
submission inet n - n -smtpd -o smtpd_enforce_tls=yes -o
smtpd_sasl_auth_enable=yes -o smtpd_etrn_restrictions=reject
W pliku main.cf definiujemy cie k do pliku z kluczem i certyfikatami:
smtpd_tls_cert_file = /etc/postfix/ ca-bundle.crt
smtpd_tls_key_file = $smtpd_tls_cert_file
W tym przypadku wszystkie potrzebne komponenty umieszczane s w jednym pliku (ca-bundle.crt).
Postfix odczyta je w nast puj cej kolejno ci:
klucz prywatny serwera (niezaszyfrowane)
certyfikat serwera
certyfikaty po rednie (w praktyce potrzebny jest tylko ten certyfikat po redni, ktry odpowiada
klas certyfikatowi naszego serwera np. Certum Level III dla certyfikatu Enterprise/Wildcard)
gwny certyfikat Certum CA

5. Eksport kluczy (do paczki pfx)

Aby wyeksportowa klucz i certyfikat z serwera po prostu kopiujemy pliki z kluczem prywatnym
server.key i certyfikatem server.crt w bezpieczne miejsce. Aby utworzy z tych plikw paczk pfx
nale y z poziomu Openssl-a wpisa :

POSTFIX (SMTP) + POP3 + SSL Konfigurowanie Postfix do obsugi protokou SMTP w otoczeniu SSL
Wersja 1.1
UNIZETO TECHNOLOGIES SA