bg-tutorials

Come installare un certificato SSL su Postfix

Questa guida fornisce istruzioni dettagliate su come installare un certificato SSL sull’agente di trasferimento della posta Postfix. Include anche informazioni utili su dove acquistare il miglior certificato SSL per Postfix.

Se hai già generato il tuo codice CSR e stai cercando solo le linee guida per l’installazione, salta pure la prima parte.

Indice dei contenuti

  1. Generare un codice CSR su Postfix
  2. Installare un certificato SSL su Postfix
  3. Verifica l’installazione di Postfix
  4. Dove acquistare il miglior certificato SSL per Postfix?
Immagine del server e-mail Postfix con testo incorporato

Abbiamo anche registrato un video che ti guida attraverso l’intero processo. Puoi guardare il video, leggere le istruzioni o fare entrambe le cose. Puoi guardare il video qui sotto.

Generare un codice CSR su Postfix

Per ottenere un certificato SSL da una CA (Certificate Authority) affidabile, devi inviare una CSR (Certificate Signing Request) al tuo provider SSL. Il CSR è un blocco di testo codificato con i tuoi dati di contatto, come il sito web e le informazioni sull’azienda.

Hai due opzioni:

  1. Usa il nostro Generatore di CSR per creare il CSR automaticamente.
  2. Segui il nostro tutorial passo passo su come generare CSR in Postfix.

Durante il processo d’ordine con il tuo fornitore di SSL, dovrai aprire il file CSR e copiare-incollare l’intero testo nella casella corrispondente. Usa un qualsiasi editor di testo come il Blocco Note per aprire il codice CSR.

Installare un certificato SSL su Postfix

Dopo che la CA ha convalidato la tua richiesta SSL e ha inviato i file SSL necessari alla tua casella di posta, puoi iniziare l’installazione SSL. Esegui le seguenti operazioni:

Passo 1. Prepara i file SSL

Postfix supporta i certificati SSL in formato X.509. Una corretta installazione richiede i seguenti file:

  • Il file della tua chiave privata: hai generato il file della chiave insieme al codice CSR sul tuo server.
  • Il tuo certificato SSL principale: si trova nella cartella archiviata in formato ZIP che hai ricevuto dalla CA. Controlla la tua e-mail e scarica, quindi estrai il tuo certificato SSL. Ai fini di questa dimostrazione, chiameremo il file del certificato SSL primario . crt
  • La CA intermedia: si tratta del file CA bundle (.ca-bundle) presente nella stessa cartella ZIP del tuo certificato SSL. Nel nostro caso, chiameremo il file intca.crt

Nota: puoi inserire tutti e tre i file in un’unica directory. Ad esempio, /etc/postfix.

Passo 2. Aggiungere il certificato SSL a Postfix

Esistono due approcci a seconda della versione di Postfix:

Per Postfix 3.4 e successivi

Crea un “file di catena” contenente la chiave, il certificato del server e gli intermedi nell’ordine esatto.

cat /path/to/privkey.key /path/to/server.crt /path/to/intermediate.pem > /etc/postfix/rsachain.pem

Questo metodo moderno evita i problemi di rollover e funziona in modo pulito con il sistema di Postfix smtpd_tls_chain_files.

Alternativa (tutte le versioni)

Tieni la chiave separata e combina solo il certificato del server con quello intermedio:

cat /path/to/server.crt /path/to/intermediate.pem > /etc/postfix/server.pem

Nella configurazione di Postfix farai riferimento sia a questo bundle che alla chiave privata.

Passo 3: Configurare Postfix

Modifica /etc/postfix/main.cf e scegli lo stile di configurazione più adatto alla tua configurazione:

Opzione A – Postfix ≥ 3.4 (consigliato):

smtpd_tls_chain_files = /etc/postfix/rsachain.pem
smtpd_tls_security_level = may

Opzione B – Eredità

smtpd_tls_cert_file = /etc/postfix/server.pem
smtpd_tls_key_file = /etc/postfix/privkey.key
smtpd_tls_security_level = may

Usa may per l’SMTP in entrata sulla porta 25. Non impostare encrypt sui server MX pubblici, in quanto rompe la compatibilità con i mittenti semplici.

Postfix disabilita già SSLv2/SSLv3 e i cifrari deboli, quindi non sono necessarie blacklist aggiuntive a meno che tu non abbia bisogno dell’autenticazione del client-cert.

Proteggi il servizio di invio (porta 587)

Se i tuoi utenti inviano la posta attraverso Postfix (tramite Outlook, Thunderbird, Apple Mail, ecc.), si connetteranno sulla porta 587. Questa è la porta di invio, diversa dalla porta 25, che serve per la consegna da server a server.

In questo caso, puoi imporre regole più rigide perché sono interessati solo gli utenti autenticati. In /etc/postfix/main.cf aggiungi:

smtpd_tls_mandatory_protocols = >=TLSv1.2

In /etc/postfix/master.cf, assicurati che l’invio sia abilitato e puoi sovrascriverlo in questo modo:

submission inet n - n - - smtpd
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_tls_mandatory_protocols=>=TLSv1.2

Passo 4: Ricaricare Postfix

Applica le modifiche ricaricando Postfix:

postfix reload
# or
systemctl reload postfix

Passo 5: Verifica il certificato

Controlla che Postfix stia servendo la catena corretta con OpenSSL:

openssl s_client -starttls smtp -connect yourdomain.com:25 -servername yourdomain.com </dev/null \
| openssl x509 -noout -issuer -subject

Dovresti vedere il certificato del tuo server con la catena di emissione corretta. Congratulazioni, hai installato con successo un certificato SSL su Postfix.

Verifica la tua installazione SSL

Dopo aver installato un certificato SSL su Postfix, è sempre consigliabile eseguire una scansione della nuova installazione per verificare la presenza di potenziali errori o vulnerabilità, per sicurezza. Con questi potenti strumenti SSL, puoi ottenere rapporti istantanei su tutti gli aspetti del tuo certificato SSL e della sua configurazione.

Dove acquistare il miglior certificato SSL per Postfix?

Hai già raggiunto la destinazione! Qui, su SSL Dragon, offriamo la più ampia gamma di prodotti SSL a prezzi incredibilmente bassi. Tutti i nostri certificati sono compatibili con l’agente di trasferimento della posta Postfix.

Se non sai quale certificato scegliere o stai lottando per trovare il prodotto perfetto per il tuo sito, i nostri strumenti rapidi e intuitivi SSL Wizard e Advanced Certificate Filter renderanno la ricerca più efficiente e piacevole.

Se trovi delle imprecisioni o hai dei dettagli da aggiungere a queste istruzioni per l’installazione di SSL, non esitare a inviarci il tuo feedback all’indirizzo [email protected]. Il tuo contributo sarà molto apprezzato! Grazie.

Risparmia il 10% sui certificati SSL ordinando oggi stesso da SSL Dragon!

Emissione rapida, crittografia avanzata, affidabilità del browser al 99,99%, assistenza dedicata e garanzia di rimborso entro 25 giorni. Codice coupon: SAVE10

Un'immagine dettagliata di un drago in volo
Scritto da

Scrittore di contenuti con esperienza, specializzato in certificati SSL. Trasforma intricati argomenti di cybersicurezza in contenuti chiari e coinvolgenti. Contribuisci a migliorare la sicurezza digitale attraverso narrazioni d'impatto.