Professional Documents
Culture Documents
UNIZETO TECHNOLOGIES SA
Spis tre ci
1. WST P.............................................................................................................................................................. 3
UNIZETO TECHNOLOGIES SA
1. Wst p
Postfix jest zaawansowanym serwerem pocztowym, przeznaczonym gwnie na platform Unix. Dzi ki
wbudowanym mechanizmom bezpiecze stwa potrafi nawi za szyfrowane i autoryzowane po czenie
za pomoc protokou TLS z drugim serwerem SMTP, lub klientem poczty elektronicznej, umo liwiaj c w
ten sposb bezpieczn wymian informacji.
Niniejszy dokument zawiera instrukcj generowania unikalnej pary kluczy oraz CSR, dla serwera
Postfix. Wi cej informacji znajdziecie Pa stwo na oficjalnych stronach projektu: www.postfix.org.
Aby wa ciwie skonfigurowa po czenia SSL na linii klient-serwer potrzebne b d nast puj ce
komponenty:
Serwer MTA Postfix www.postfix.org
Demon POP3 tutaj w postaci pakietu imap-2002d-2.src.rpm
Biblioteka OpenSSL www.openssl.org
Je li Twoja dystrybucja Linuksa nie obejmuje powy szych skadnikw, ci gnij je i zainstaluj.
Zanim zabierzemy si za konfigurowanie bezpiecznych po cze pocztowych przekonajmy si czy:
Serwer DNS jest odpowiednio skonfigurowany (dodany wpis MX).
Sendmail jest skonfigurowany z protokoem SMTP.
Sendmail jest zintegrowany z agentem POP3 (lub IMAP) z paczki IMAP.
Dodani zostali u ytkownicy poczty wraz z hasami (addusr/passwd).
Klient poczty jest skonfigurowany.
... i czy cay mechanizm dziaa poprawnie.
Przy pisaniu tej instrukcji, Autor korzysta z dystrybucji: Red Hat Enterprise Linux 4.
3
Plik CSR wraz z kluczem prywatnym server.key nale y zabezpieczy na dyskietce lub innym no niku.
POSTFIX (SMTP) + POP3 + SSL Tworzenie kluczy i certyfikatu dla demonw SMTP i POP3
Wersja 1.1
UNIZETO TECHNOLOGIES SA
4
2.2. Tworzenie certyfikatu na podstawie utworzonego dania (CSR)
Wygenerowane w kroku poprzednim danie powinno mie posta podobn jak poni ej:
-----BEGIN NEW CERTIFICATE REQUEST-----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-----END NEW CERTIFICATE REQUEST-----
POSTFIX (SMTP) + POP3 + SSL Tworzenie kluczy i certyfikatu dla demonw SMTP i POP3
Wersja 1.1
UNIZETO TECHNOLOGIES SA
5
UWAGA: W celu wklejania certyfikatu na stronie nale y skopiowa fragment tekstu od linii "--BEGIN
CERTIFICATE --" do "--END CERTIFICATE--" (razem z tymi liniami!!!), u ywaj c do tego celu
edytora tekstowego.
Upewniamy si , e w polu E-mail jest wpisany poprawny adres (na ten adres zostan wysane dalsze
instrukcje), oraz, e zaznaczyli my pole Potwierdzam O wiadczenie i klikamy Dalej.
Pojawi si strona, na ktrej mo emy si upewni , e nasze danie CSR zostao wygenerowane na
prawidowe dane.
Uwaga: Nale y si upewni , e w polu podmiot jest wpisana poprawna nazwa naszej strony (je li
kupujemy certyfikat na domen poczta.mojserwer.com upewnijmy si , e ta nazwa widnieje w tym
polu)!!!
Upewniwszy si co do poprawno ci wprowadzonych danych klikamy Dalej:
POSTFIX (SMTP) + POP3 + SSL Tworzenie kluczy i certyfikatu dla demonw SMTP i POP3
Wersja 1.1
UNIZETO TECHNOLOGIES SA
6
Pojawi si okno ze szczegami naszego certyfikatu:
Klikamy Zapisz tekstowo, aby zapisa certyfikat jako plik *.pem lub Zapisz binarnie, aby zapisa
certyfikat jako plik *.cer.
UWAGA: W przypadku utraty pliku z certyfikatem, mo emy j pobra ze strony www.certum.pl ->
Obsuga certyfikatw -> Wyszukaj certyfikat (niekwalifikowany).
Dla interesuj cego nas certyfikatu wybieramy opcj Zapisz tekstowo lub Zapisz binarnie:
UWAGA: Pobrany w ten sposb plik zawiera jedynie certyfikat serwera pozostae certyfikaty
CERTUM mo na pobra z dziau Obsuga certyfikatw -> Za wiadczenia i klucze i do czy do
pobranego pliku.
POSTFIX (SMTP) + POP3 + SSL Tworzenie kluczy i certyfikatu dla demonw SMTP i POP3
Wersja 1.1
UNIZETO TECHNOLOGIES SA
7
3. Instalowanie kluczy i certyfikatu serwera oraz certyfikatw Certum CA
Poza naszym certyfikatem trzeba jeszcze dodatkowo zainstalowa na serwerze certyfikaty CERTUM
(certyfikaty CERTUM w jednej paczce znajduj si pod adresem http://www.certum.pl/keys/ca-
bundle.crt). W paczce znajduj si wszystkie certyfikaty CERTUM: wszystkie certyfikaty po rednie (w
kolejno ci od Level I do Level IV), oraz root CA na ko cu. Mo emy doda nasz certyfikat na pocz tku
pliku ca-bundle.crt (od linii "--BEGIN CERTIFICATE --" do "--END CERTIFICATE--")
POSTFIX (SMTP) + POP3 + SSL Instalowanie kluczy i certyfikatu serwera oraz certyfikatw Certum CA
Wersja 1.1
UNIZETO TECHNOLOGIES SA
8
4. Konfigurowanie Postfix do obsugi protokou SMTP w otoczeniu SSL
W celu instalacji kluczy i certyfikatw w Postfix edytujemy plik master.cf i odkomentowujemy linijki
wymuszaj ce uwierzytelnianie i bezpieczne po czenie:
smtps inet n n - -smtpd -o smtpd_tls_wrappermode=yes -o
smtpd_sasl_auth_enable=yes
submission inet n - n -smtpd -o smtpd_enforce_tls=yes -o
smtpd_sasl_auth_enable=yes -o smtpd_etrn_restrictions=reject
W pliku main.cf definiujemy cie k do pliku z kluczem i certyfikatami:
smtpd_tls_cert_file = /etc/postfix/ ca-bundle.crt
smtpd_tls_key_file = $smtpd_tls_cert_file
W tym przypadku wszystkie potrzebne komponenty umieszczane s w jednym pliku (ca-bundle.crt).
Postfix odczyta je w nast puj cej kolejno ci:
klucz prywatny serwera (niezaszyfrowane)
certyfikat serwera
certyfikaty po rednie (w praktyce potrzebny jest tylko ten certyfikat po redni, ktry odpowiada
klas certyfikatowi naszego serwera np. Certum Level III dla certyfikatu Enterprise/Wildcard)
gwny certyfikat Certum CA
Aby wyeksportowa klucz i certyfikat z serwera po prostu kopiujemy pliki z kluczem prywatnym
server.key i certyfikatem server.crt w bezpieczne miejsce. Aby utworzy z tych plikw paczk pfx
nale y z poziomu Openssl-a wpisa :
POSTFIX (SMTP) + POP3 + SSL Konfigurowanie Postfix do obsugi protokou SMTP w otoczeniu SSL
Wersja 1.1
UNIZETO TECHNOLOGIES SA