Esta guía proporciona instrucciones detalladas sobre cómo instalar un certificado SSL en el agente de transferencia de correo Postfix. También incluye información útil sobre dónde comprar el mejor certificado SSL para Postfix.
Si ya ha generado su código CSR y sólo busca directrices de instalación, puede saltarse la primera parte.
Índice
- Generar un código CSR en Postfix
- Instalar un certificado SSL en Postfix
- Pruebe su instalación de Postfix
- ¿Dónde comprar el mejor certificado SSL para Postfix?

También hemos grabado un vídeo que te guía por todo el proceso. Puedes ver el vídeo, leer las instrucciones o hacer ambas cosas. Puede ver el vídeo a continuación.
Generar un código CSR en Postfix
Para obtener un certificado SSL de una CA (autoridad de certificación) de confianza, debe enviar una CSR (solicitud de firma de certificado) a su proveedor de SSL. El CSR es un bloque de texto codificado con sus datos de contacto, como el sitio web y la información de la empresa.
Tienes dos opciones:
- Utilice nuestro Generador de CSR para crear el CSR automáticamente.
- Siga nuestro tutorial paso a paso sobre cómo generar CSR en Postfix.
Durante el proceso de pedido a su proveedor de SSL, tendrá que abrir el archivo CSR y copiar y pegar todo el texto en la casilla correspondiente. Utilice cualquier editor de texto como el Bloc de notas para abrir el código CSR.
Instalar un certificado SSL en Postfix
Después de que su CA valide su solicitud SSL y envíe los archivos SSL necesarios a su bandeja de entrada, puede comenzar la instalación SSL. Por favor, realice lo siguiente:
Primer paso. Prepare sus archivos SSL
Postfix soporta Certificados SSL en formato X.509. Una instalación correcta requiere los siguientes archivos:
- Tu archivo de clave privada: has generado el archivo de clave junto con el código CSR en tu servidor.
- Su certificado SSL principal: reside en la carpeta ZIP archivada que ha recibido de la CA. Compruebe su correo electrónico y descargue y extraiga su certificado SSL. Para esta demostración, llamaremos al archivo del certificado SSL primario .crt
- La CA intermedia: es el archivo CA bundle (.ca-bundle) de la misma carpeta ZIP que su certificado SSL. En nuestro caso, llamaremos al archivo intca.crt
Nota: puede colocar los tres archivos en un único directorio. Por ejemplo, /etc/postfix.
Segundo paso. Añadir el certificado SSL a Postfix
Hay dos enfoques dependiendo de tu versión de Postfix:
Para Postfix 3.4 y posteriores
Crea un «archivo de cadena» que contenga la clave, el certificado del servidor y los intermediarios en este orden exacto.
cat /path/to/privkey.key /path/to/server.crt /path/to/intermediate.pem > /etc/postfix/rsachain.pem
Este método moderno evita los problemas de rollover y funciona limpiamente con la función de Postfix smtpd_tls_chain_files.
Alternativa (todas las versiones)
Mantén la clave separada y combina sólo el certificado del servidor con el(los) intermedio(s):
cat /path/to/server.crt /path/to/intermediate.pem > /etc/postfix/server.pem
Harás referencia tanto a este paquete como a la clave privada en tu configuración de Postfix.
Paso 3: Configurar Postfix
Edita /etc/postfix/main.cf y elige el estilo de configuración que se ajuste a tu configuración:
Opción A – Postfix ≥ 3.4 (recomendado):
smtpd_tls_chain_files = /etc/postfix/rsachain.pem
smtpd_tls_security_level = may
Opción B – Legado
smtpd_tls_cert_file = /etc/postfix/server.pem
smtpd_tls_key_file = /etc/postfix/privkey.key
smtpd_tls_security_level = may
Utiliza may para SMTP entrante en el puerto 25. No configures encrypt en servidores MX públicos, ya que rompe la compatibilidad con los remitentes de sólo texto.
Postfix ya desactiva SSLv2/SSLv3 y los cifrados débiles, por lo que no se necesitan listas negras adicionales a menos que necesites autenticación cliente-certificado.
Asegurar el Servicio de Envío (Puerto 587)
Si tus usuarios envían correo a través de Postfix (mediante Outlook, Thunderbird, Apple Mail, etc.), se conectarán en el puerto 587. Éste es el puerto de envío, distinto del puerto 25, que es para la entrega de servidor a servidor.
Aquí puedes aplicar normas más estrictas, ya que sólo se verán afectados tus usuarios autentificados. En /etc/postfix/main.cf añade:
smtpd_tls_mandatory_protocols = >=TLSv1.2
En /etc/postfix/master.cf, asegúrate de que el envío está activado, y puedes anularlo así:
submission inet n - n - - smtpd
-o smtpd_tls_security_level=encrypt
-o smtpd_sasl_auth_enable=yes
-o smtpd_tls_mandatory_protocols=>=TLSv1.2
Paso 4: Recargar Postfix
Aplica los cambios recargando Postfix:
postfix reload
# or
systemctl reload postfix
Paso 5: Verificar el Certificado
Comprueba que Postfix está sirviendo la cadena correcta con OpenSSL:
openssl s_client -starttls smtp -connect yourdomain.com:25 -servername yourdomain.com </dev/null \
| openssl x509 -noout -issuer -subject
Deberías ver tu certificado de servidor junto con la cadena de emisor adecuada. Enhorabuena, ha instalado correctamente un certificado SSL en Postfix.
Pruebe su instalación SSL
Después de instalar un certificado SSL en Postfix, siempre es aconsejable escanear su nueva instalación en busca de posibles errores o vulnerabilidades, sólo para estar en el lado seguro de las cosas. Con estas potentes herramientas SSL, puede obtener informes instantáneos sobre todos los aspectos de su certificado SSL y su configuración.
¿Dónde comprar el mejor certificado SSL para Postfix?
Ya has llegado a tu destino. Aquí, en SSL Dragon, ofrecemos la más amplia gama de productos SSL a precios increíblemente bajos. Todos nuestros certificados son compatibles con el agente de transferencia de correo Postfix.
Si no sabe qué certificado elegir o le cuesta encontrar el producto perfecto para su sitio web, nuestras rápidas e intuitivas herramientas SSL Wizard y Advanced Certificate Filter le harán la búsqueda más eficaz y agradable.
Si encuentra algún error o tiene algún detalle que añadir a estas instrucciones de instalación de SSL, no dude en enviarnos sus comentarios a [email protected]. Su opinión será muy apreciada. Gracias, señor.
Ahorre un 10% en certificados SSL al realizar su pedido hoy mismo.
Emisión rápida, cifrado potente, 99,99% de confianza del navegador, asistencia dedicada y garantía de devolución del dinero en 25 días. Código del cupón: SAVE10


