Я получил SSL-сертификат thawte Wildcard для *. My.example.com
.
Теперь я хотел бы чтобы использовать его для моего почтового сервера (имя хоста: test.my.example.com
).
Я отредактировал /etc/postfix/postfix_default.pem
и включил ключ, сертификат и ca в этом файле.
К сожалению, при проверке SSL возникает ошибка
Неизвестный орган
или
Сертификат НЕ ПРОВЕРЕН: невозможно получить сертификат местного эмитента
Что мне нужно изменить в моей конфигурации?
Постфикс имеет идеальную документацию. Для вашей темы: http://www.postfix.org/TLS_README.html
В частности, у вас возникла проблема, потому что Postfix не мог найти полную цепочку доверия сертификатов до доверенного ЦС. Вы должны снабдить эту цепочку сертификатом вашего конечного сервера.
Это означает, что вы должны включить все промежуточные центры сертификации в пакет сертификатов, который вы предоставляете Postfix, сначала сертификат конечного сервера, затем все центры сертификации снизу вверх:
cat server_cert.pem intermediate_CA.pem > server.pem
Мы ввели ключ в собственный файл, так что моя конфигурация выглядит следующим образом (в main.cf):
smtpd_tls_cert_file = /path/to/server.pem
smtpd_tls_key_file = /path/to/server.key
Конечно, файл ключа должен быть безопасен, доступен только для чтения root (Postfix начинается как root, читает его, а затем сбрасывает привилегии). Вы можете включить цепочку сертификатов и ключей в один файл, а затем указать один и тот же файл в обеих настройках.
Это только конфигурация "smtp server" (smtpd). Postfix также имеет smtp-клиент (который используется, когда соединяется с другим сервером для передачи туда почты). Ему также нужна собственная конфигурация, возможно, вам придется использовать другой сертификат. Сертификат сервера должен иметь назначение "ssl server", в то время как сертификат smtp клиента должен иметь назначение "ssl client". Подробности смотрите на странице руководства, на которую я дал ссылку.
.