В этом руководстве представлены подробные инструкции по установке SSL-сертификата на агент передачи почты Postfix. В нем также содержится полезная информация о том, где купить лучший SSL-сертификат для Postfix.
Если Вы уже сгенерировали свой CSR-код и ищете только руководство по установке, можете пропустить первую часть.
Оглавление
- Генерирование кода CSR в Postfix
- Установите SSL-сертификат на Postfix
- Проверьте Вашу установку Postfix
- Где купить лучший SSL-сертификат для Postfix?

Мы также записали видеоролик, который проведет Вас через весь процесс. Вы можете посмотреть видео, прочитать инструкции или сделать и то, и другое. Вы можете посмотреть видео ниже.
Генерирование кода CSR в Postfix
Чтобы получить SSL-сертификат от доверенного центра сертификации (Certificate Authority), Вы должны отправить CSR (Certificate Signing Request) Вашему SSL-провайдеру. CSR — это блок закодированного текста с Вашими контактными данными, такими как информация о сайте и компании.
У Вас есть два варианта:
- Используйте наш Генератор CSR, чтобы создать CSR автоматически.
- Следуйте нашему пошаговому руководству о том , как генерировать CSR в Postfix.
В процессе оформления заказа у Вашего поставщика SSL Вам нужно будет открыть файл CSR и скопировать весь текст в соответствующее поле. Используйте любой текстовый редактор, например, Блокнот, чтобы открыть код CSR.
Установите SSL-сертификат на Postfix
После того, как Ваш центр сертификации подтвердит Ваш SSL-запрос и отправит необходимые SSL-файлы в Ваш почтовый ящик, Вы можете начать установку SSL. Пожалуйста, выполните следующие действия:
Шаг 1. Подготовьте Ваши файлы SSL
Postfix поддерживает SSL-сертификаты в формате X.509. Для правильной установки необходимы следующие файлы:
- Файл Вашего закрытого ключа: Вы сгенерировали файл ключа вместе с кодом CSR на Вашем сервере.
- Ваш основной SSL-сертификат: он находится в заархивированной папке ZIP, которую Вы получили от ЦС. Проверьте свою электронную почту и загрузите, а затем извлеките свой SSL-сертификат. В рамках данной демонстрации мы назовем первичный файл SSL-сертификата .crt
- Промежуточный ЦС: это файл CA bundle (.ca-bundle) из той же папки ZIP, что и Ваш SSL-сертификат. В нашем случае мы назовем файл intca.crt
Примечание: Вы можете поместить все три файла в одну директорию. Например, /etc/postfix.
Шаг 2. Добавьте SSL-сертификат в Postfix
Существует два подхода в зависимости от версии Вашего Postfix:
Для Postfix 3.4 и более новых версий
Создайте один «цепной файл», содержащий ключ, сертификат сервера и промежуточные продукты именно в таком порядке.
cat /path/to/privkey.key /path/to/server.crt /path/to/intermediate.pem > /etc/postfix/rsachain.pem
Этот современный метод позволяет избежать проблем с переносом и прекрасно работает с Postfix’ом smtpd_tls_chain_files.
Альтернатива (все версии)
Храните ключ отдельно и объедините только сертификат сервера с промежуточным(и):
cat /path/to/server.crt /path/to/intermediate.pem > /etc/postfix/server.pem
Вы будете ссылаться на эту связку и закрытый ключ в конфигурации Postfix.
Шаг 3: Настройте Postfix
Отредактируйте /etc/postfix/main.cf и выберите стиль конфигурации, который соответствует Вашей установке:
Вариант A — Postfix ≥ 3.4 (рекомендуется):
smtpd_tls_chain_files = /etc/postfix/rsachain.pem
smtpd_tls_security_level = may
Вариант B — Наследие
smtpd_tls_cert_file = /etc/postfix/server.pem
smtpd_tls_key_file = /etc/postfix/privkey.key
smtpd_tls_security_level = may
Используйте may для входящего SMTP на порту 25. Не устанавливайте encrypt на публичных MX-серверах, так как это нарушает совместимость с обычными отправителями.
Postfix уже отключает SSLv2/SSLv3 и слабые шифры, поэтому дополнительные черные списки не нужны, если только Вам не требуется аутентификация с помощью клиентских сертификатов.
Защитите службу отправки (порт 587)
Если Ваши пользователи отправляют почту через Postfix (через Outlook, Thunderbird, Apple Mail и т.д.), они будут подключаться через порт 587. Это порт отправки, отличный от порта 25, который предназначен для доставки между серверами.
Здесь Вы можете применять более строгие правила, поскольку они затрагивают только аутентифицированных пользователей. В разделе /etc/postfix/main.cf добавьте:
smtpd_tls_mandatory_protocols = >=TLSv1.2
В /etc/postfix/master.cf убедитесь, что отправка включена, и Вы можете переопределить ее следующим образом:
submission inet n - n - - smtpd
-o smtpd_tls_security_level=encrypt
-o smtpd_sasl_auth_enable=yes
-o smtpd_tls_mandatory_protocols=>=TLSv1.2
Шаг 4: Перезагрузите Postfix
Примените изменения, перезагрузив Postfix:
postfix reload
# or
systemctl reload postfix
Шаг 5: Проверьте сертификат
Проверьте, что Postfix обслуживает правильную цепочку с помощью OpenSSL:
openssl s_client -starttls smtp -connect yourdomain.com:25 -servername yourdomain.com </dev/null \
| openssl x509 -noout -issuer -subject
Вы должны увидеть сертификат Вашего сервера вместе с соответствующей цепочкой эмитента. Поздравляем, Вы успешно установили SSL-сертификат на Postfix.
Протестируйте Вашу установку SSL
После того, как Вы установили SSL-сертификат на Postfix, всегда полезно просканировать Вашу новую установку на предмет возможных ошибок или уязвимостей, просто чтобы быть начеку. С помощью этих мощных SSL-инструментов Вы можете получать мгновенные отчеты по всем аспектам Вашего SSL-сертификата и его конфигурации.
Где купить лучший SSL-сертификат для Postfix?
Вы уже достигли цели! Здесь, в SSL Dragon, мы предлагаем самый широкий ассортимент SSL-продуктов по невероятно низким ценам. Все наши сертификаты совместимы с агентом передачи почты Postfix.
Если Вы не знаете, какой сертификат выбрать, или пытаетесь найти идеальный продукт для Вашего сайта, наши быстрые и интуитивно понятные инструменты SSL Wizard и Advanced Certificate Filter сделают поиск более эффективным и приятным.
Если Вы обнаружили какие-либо неточности или у Вас есть что добавить к этим инструкциям по установке SSL, пожалуйста, не стесняйтесь присылать нам свои отзывы по адресу [email protected]. Ваш вклад будет очень признателен! Спасибо.
Сэкономьте 10% на SSL-сертификатах при заказе сегодня!
Быстрая выдача, надежное шифрование, 99,99% доверия к браузеру, специализированная поддержка и 25-дневная гарантия возврата денег. Код купона: SAVE10


