bg-tutorials

Cómo instalar un certificado SSL en Postfix

Esta guía proporciona instrucciones detalladas sobre cómo instalar un certificado SSL en el agente de transferencia de correo Postfix. También incluye información útil sobre dónde comprar el mejor certificado SSL para Postfix.

Si ya ha generado su código CSR y sólo busca directrices de instalación, puede saltarse la primera parte.

Índice

  1. Generar un código CSR en Postfix
  2. Instalar un certificado SSL en Postfix
  3. Pruebe su instalación de Postfix
  4. ¿Dónde comprar el mejor certificado SSL para Postfix?
Imagen del servidor de correo electrónico Postfix con el texto

También hemos grabado un vídeo que te guía por todo el proceso. Puedes ver el vídeo, leer las instrucciones o hacer ambas cosas. Puede ver el vídeo a continuación.

Generar un código CSR en Postfix

Para obtener un certificado SSL de una CA (autoridad de certificación) de confianza, debe enviar una CSR (solicitud de firma de certificado) a su proveedor de SSL. El CSR es un bloque de texto codificado con sus datos de contacto, como el sitio web y la información de la empresa.

Tienes dos opciones:

  1. Utilice nuestro Generador de CSR para crear el CSR automáticamente.
  2. Siga nuestro tutorial paso a paso sobre cómo generar CSR en Postfix.

Durante el proceso de pedido a su proveedor de SSL, tendrá que abrir el archivo CSR y copiar y pegar todo el texto en la casilla correspondiente. Utilice cualquier editor de texto como el Bloc de notas para abrir el código CSR.

Instalar un certificado SSL en Postfix

Después de que su CA valide su solicitud SSL y envíe los archivos SSL necesarios a su bandeja de entrada, puede comenzar la instalación SSL. Por favor, realice lo siguiente:

Primer paso. Prepare sus archivos SSL

Postfix soporta Certificados SSL en formato X.509. Una instalación correcta requiere los siguientes archivos:

  • Tu archivo de clave privada: has generado el archivo de clave junto con el código CSR en tu servidor.
  • Su certificado SSL principal: reside en la carpeta ZIP archivada que ha recibido de la CA. Compruebe su correo electrónico y descargue y extraiga su certificado SSL. Para esta demostración, llamaremos al archivo del certificado SSL primario .crt
  • La CA intermedia: es el archivo CA bundle (.ca-bundle) de la misma carpeta ZIP que su certificado SSL. En nuestro caso, llamaremos al archivo intca.crt

Nota: puede colocar los tres archivos en un único directorio. Por ejemplo, /etc/postfix.

Segundo paso. Añadir el certificado SSL a Postfix

Hay dos enfoques dependiendo de tu versión de Postfix:

Para Postfix 3.4 y posteriores

Crea un «archivo de cadena» que contenga la clave, el certificado del servidor y los intermediarios en este orden exacto.

cat /path/to/privkey.key /path/to/server.crt /path/to/intermediate.pem > /etc/postfix/rsachain.pem

Este método moderno evita los problemas de rollover y funciona limpiamente con la función de Postfix smtpd_tls_chain_files.

Alternativa (todas las versiones)

Mantén la clave separada y combina sólo el certificado del servidor con el(los) intermedio(s):

cat /path/to/server.crt /path/to/intermediate.pem > /etc/postfix/server.pem

Harás referencia tanto a este paquete como a la clave privada en tu configuración de Postfix.

Paso 3: Configurar Postfix

Edita /etc/postfix/main.cf y elige el estilo de configuración que se ajuste a tu configuración:

Opción A – Postfix ≥ 3.4 (recomendado):

smtpd_tls_chain_files = /etc/postfix/rsachain.pem
smtpd_tls_security_level = may

Opción B – Legado

smtpd_tls_cert_file = /etc/postfix/server.pem
smtpd_tls_key_file = /etc/postfix/privkey.key
smtpd_tls_security_level = may

Utiliza may para SMTP entrante en el puerto 25. No configures encrypt en servidores MX públicos, ya que rompe la compatibilidad con los remitentes de sólo texto.

Postfix ya desactiva SSLv2/SSLv3 y los cifrados débiles, por lo que no se necesitan listas negras adicionales a menos que necesites autenticación cliente-certificado.

Asegurar el Servicio de Envío (Puerto 587)

Si tus usuarios envían correo a través de Postfix (mediante Outlook, Thunderbird, Apple Mail, etc.), se conectarán en el puerto 587. Éste es el puerto de envío, distinto del puerto 25, que es para la entrega de servidor a servidor.

Aquí puedes aplicar normas más estrictas, ya que sólo se verán afectados tus usuarios autentificados. En /etc/postfix/main.cf añade:

smtpd_tls_mandatory_protocols = >=TLSv1.2

En /etc/postfix/master.cf, asegúrate de que el envío está activado, y puedes anularlo así:

submission inet n - n - - smtpd
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_tls_mandatory_protocols=>=TLSv1.2

Paso 4: Recargar Postfix

Aplica los cambios recargando Postfix:

postfix reload
# or
systemctl reload postfix

Paso 5: Verificar el Certificado

Comprueba que Postfix está sirviendo la cadena correcta con OpenSSL:

openssl s_client -starttls smtp -connect yourdomain.com:25 -servername yourdomain.com </dev/null \
| openssl x509 -noout -issuer -subject

Deberías ver tu certificado de servidor junto con la cadena de emisor adecuada. Enhorabuena, ha instalado correctamente un certificado SSL en Postfix.

Pruebe su instalación SSL

Después de instalar un certificado SSL en Postfix, siempre es aconsejable escanear su nueva instalación en busca de posibles errores o vulnerabilidades, sólo para estar en el lado seguro de las cosas. Con estas potentes herramientas SSL, puede obtener informes instantáneos sobre todos los aspectos de su certificado SSL y su configuración.

¿Dónde comprar el mejor certificado SSL para Postfix?

Ya has llegado a tu destino. Aquí, en SSL Dragon, ofrecemos la más amplia gama de productos SSL a precios increíblemente bajos. Todos nuestros certificados son compatibles con el agente de transferencia de correo Postfix.

Si no sabe qué certificado elegir o le cuesta encontrar el producto perfecto para su sitio web, nuestras rápidas e intuitivas herramientas SSL Wizard y Advanced Certificate Filter le harán la búsqueda más eficaz y agradable.

Si encuentra algún error o tiene algún detalle que añadir a estas instrucciones de instalación de SSL, no dude en enviarnos sus comentarios a [email protected]. Su opinión será muy apreciada. Gracias, señor.

Ahorre un 10% en certificados SSL al realizar su pedido hoy mismo.

Emisión rápida, cifrado potente, 99,99% de confianza del navegador, asistencia dedicada y garantía de devolución del dinero en 25 días. Código del cupón: SAVE10

Una imagen detallada de un dragón en vuelo
Escrito por

Redactor de contenidos experimentado especializado en Certificados SSL. Transformar temas complejos de ciberseguridad en contenido claro y atractivo. Contribuir a mejorar la seguridad digital a través de narrativas impactantes.