Acest ghid oferă instrucțiuni detaliate despre cum să instalați un certificat SSL pe agentul de transfer de corespondență Postfix. Acesta include, de asemenea, informații utile despre unde să cumpărați cel mai bun certificat SSL pentru Postfix.
Dacă ați generat deja codul CSR și căutați doar instrucțiuni de instalare, puteți sări peste prima parte.
Tabla de conținut
- Generarea unui cod CSR pe Postfix
- Instalați un certificat SSL pe Postfix
- Testați instalarea Postfix
- De unde să cumpărați cel mai bun certificat SSL pentru Postfix?

De asemenea, am înregistrat un filmuleț video care vă ghidează pe parcursul întregului proces. Puteți viziona videoclipul, citi instrucțiunile sau le puteți face pe amândouă. Puteți viziona videoclipul mai jos.
Generarea unui cod CSR pe Postfix
Pentru a obține un certificat SSL de la o autoritate de certificare de încredere, trebuie să trimiteți o cerere de semnare a certificatului (CSR – Certificate Signing Request) la furnizorul dumneavoastră SSL. CSR este un bloc de text codificat cu datele dumneavoastră de contact, cum ar fi site-ul web și informațiile despre companie.
Aveți două opțiuni:
- Utilizați Generatorul nostru de CSR pentru a crea CSR-ul automat.
- Urmați tutorialul nostru pas cu pas despre cum să generați CSR în Postfix.
În timpul procesului de comandă cu furnizorul SSL, va trebui să deschideți fișierul CSR și să copiați și să lipiți întregul text în caseta corespunzătoare. Utilizați orice editor de text, cum ar fi Notepad, pentru a deschide codul CSR.
Instalați un certificat SSL pe Postfix
După ce autoritatea de certificare validează cererea SSL și vă trimite fișierele SSL necesare în căsuța dvs. poștală, puteți începe instalarea SSL. Vă rugăm să efectuați următoarele:
Pasul 1. Pregătiți fișierele SSL
Postfix suportă certificatele SSL în format X.509. Pentru o instalare corectă sunt necesare următoarele fișiere:
- Fișierul dvs. de chei private: ați generat fișierul de chei împreună cu codul CSR pe serverul dvs.
- Certificatul SSL principal: acesta se află în dosarul arhivat ZIP pe care l-ați primit de la CA. Verificați e-mailul și descărcați, apoi extrageți certificatul SSL. În scopul acestei demonstrații, vom numi fișierul primar al certificatului SSL .crt
- CA intermediară: acesta este fișierul CA bundle (.ca-bundle) din același dosar ZIP ca și certificatul SSL. În cazul nostru, vom numi fișierul intca.crt
Notă: puteți plasa toate cele trei fișiere într-un singur director. De exemplu, /etc/postfix.
Pasul 2. Adăugați certificatul SSL la Postfix
Există două abordări în funcție de versiunea Postfix:
Pentru Postfix 3.4 și mai nou
Creați un „fișier lanț” care conține cheia, certificatul serverului și intermediarii în această ordine exactă.
cat /path/to/privkey.key /path/to/server.crt /path/to/intermediate.pem > /etc/postfix/rsachain.pem
Această metodă modernă evită problemele de răsturnare și funcționează curat cu Postfix’s smtpd_tls_chain_files.
Alternative (toate versiunile)
Păstrați cheia separată și combinați numai certificatul serverului cu cel intermediar (cele intermediare):
cat /path/to/server.crt /path/to/intermediate.pem > /etc/postfix/server.pem
Veți face referire atât la acest pachet, cât și la cheia privată în configurația Postfix.
Pasul 3: Configurați Postfix
Editați /etc/postfix/main.cf și alegeți stilul de configurare care se potrivește configurației dvs:
Opțiunea A – Postfix ≥ 3.4 (recomandat):
smtpd_tls_chain_files = /etc/postfix/rsachain.pem
smtpd_tls_security_level = may
Opțiunea B – Moștenire
smtpd_tls_cert_file = /etc/postfix/server.pem
smtpd_tls_key_file = /etc/postfix/privkey.key
smtpd_tls_security_level = may
Utilizați may pentru SMTP de intrare pe portul 25. Nu setați encrypt pe serverele MX publice, deoarece se întrerupe compatibilitatea cu expeditorii simpli.
Postfix dezactivează deja SSLv2/SSLv3 și cifrurile slabe, astfel încât nu sunt necesare liste negre suplimentare, cu excepția cazului în care aveți nevoie de autentificare prin certificat client.
Securizați serviciul de depunere (portul 587)
Dacă utilizatorii dvs. trimit mesaje prin Postfix (prin Outlook, Thunderbird, Apple Mail etc.), aceștia se vor conecta pe portul 587. Acesta este portul de trimitere, diferit de portul 25, care este pentru livrarea de la server la server.
Aici, puteți aplica reguli mai stricte, deoarece sunt afectați doar utilizatorii autentificați. În /etc/postfix/main.cf adăugați:
smtpd_tls_mandatory_protocols = >=TLSv1.2
În /etc/postfix/master.cf, asigurați-vă că trimiterea este activată și puteți suprascrie astfel:
submission inet n - n - - smtpd
-o smtpd_tls_security_level=encrypt
-o smtpd_sasl_auth_enable=yes
-o smtpd_tls_mandatory_protocols=>=TLSv1.2
Pasul 4: Reîncărcați Postfix
Aplicați modificările prin reîncărcarea Postfix:
postfix reload
# or
systemctl reload postfix
Pasul 5: Verificarea certificatului
Verificați dacă Postfix servește lanțul corect cu OpenSSL:
openssl s_client -starttls smtp -connect yourdomain.com:25 -servername yourdomain.com </dev/null \
| openssl x509 -noout -issuer -subject
Ar trebui să vedeți certificatul serverului împreună cu lanțul emitent corespunzător. Felicitări, ați instalat cu succes un certificat SSL pe Postfix.
Testați instalarea SSL
După ce instalați un certificat SSL pe Postfix, este întotdeauna înțelept să scanați noua instalare pentru a detecta eventualele erori sau vulnerabilități, doar pentru a fi în siguranță. Cu aceste instrumente SSL puternice, puteți obține rapoarte instantanee despre toate aspectele certificatului dvs. SSL și despre configurația acestuia.
De unde să cumpărați cel mai bun certificat SSL pentru Postfix?
Ați ajuns deja la destinație! Aici, la SSL Dragon, oferim cea mai largă gamă de produse SSL la prețuri incredibil de mici. Toate certificatele noastre sunt compatibile cu agentul de transfer al corespondenței Postfix.
Dacă nu știți ce certificat să alegeți sau dacă vă străduiți să găsiți produsul perfect pentru site-ul dvs., instrumentele noastre rapide și intuitive SSL Wizard și Advanced Certificate Filter vă vor face căutarea mai eficientă și mai plăcută.
Dacă găsiți inexactități sau dacă aveți detalii de adăugat la aceste instrucțiuni de instalare SSL, nu ezitați să ne trimiteți comentariile dumneavoastră la [email protected]. Comentariile dvs. vor fi foarte apreciate! Vă mulțumim.
Economisește 10% la certificatele SSL în momentul plasării comenzii!
Eliberare rapidă, criptare puternică, încredere în browser de 99,99%, suport dedicat și garanție de returnare a banilor în 25 de zile. Codul cuponului: SAVE10


