bg-tutorials

Как установить SSL-сертификат на Postfix

В этом руководстве представлены подробные инструкции по установке SSL-сертификата на агент передачи почты Postfix. В нем также содержится полезная информация о том, где купить лучший SSL-сертификат для Postfix.

Если Вы уже сгенерировали свой CSR-код и ищете только руководство по установке, можете пропустить первую часть.

Оглавление

  1. Генерирование кода CSR в Postfix
  2. Установите SSL-сертификат на Postfix
  3. Проверьте Вашу установку Postfix
  4. Где купить лучший SSL-сертификат для Postfix?
Изображение почтового сервера Postfix со встроенным текстом 'Secure Email Server Configuration Guide'.

Мы также записали видеоролик, который проведет Вас через весь процесс. Вы можете посмотреть видео, прочитать инструкции или сделать и то, и другое. Вы можете посмотреть видео ниже.

Генерирование кода CSR в Postfix

Чтобы получить SSL-сертификат от доверенного центра сертификации (Certificate Authority), Вы должны отправить CSR (Certificate Signing Request) Вашему SSL-провайдеру. CSR — это блок закодированного текста с Вашими контактными данными, такими как информация о сайте и компании.

У Вас есть два варианта:

  1. Используйте наш Генератор CSR, чтобы создать CSR автоматически.
  2. Следуйте нашему пошаговому руководству о том , как генерировать CSR в Postfix.

В процессе оформления заказа у Вашего поставщика SSL Вам нужно будет открыть файл CSR и скопировать весь текст в соответствующее поле. Используйте любой текстовый редактор, например, Блокнот, чтобы открыть код CSR.

Установите SSL-сертификат на Postfix

После того, как Ваш центр сертификации подтвердит Ваш SSL-запрос и отправит необходимые SSL-файлы в Ваш почтовый ящик, Вы можете начать установку SSL. Пожалуйста, выполните следующие действия:

Шаг 1. Подготовьте Ваши файлы SSL

Postfix поддерживает SSL-сертификаты в формате X.509. Для правильной установки необходимы следующие файлы:

  • Файл Вашего закрытого ключа: Вы сгенерировали файл ключа вместе с кодом CSR на Вашем сервере.
  • Ваш основной SSL-сертификат: он находится в заархивированной папке ZIP, которую Вы получили от ЦС. Проверьте свою электронную почту и загрузите, а затем извлеките свой SSL-сертификат. В рамках данной демонстрации мы назовем первичный файл SSL-сертификата .crt
  • Промежуточный ЦС: это файл CA bundle (.ca-bundle) из той же папки ZIP, что и Ваш SSL-сертификат. В нашем случае мы назовем файл intca.crt

Примечание: Вы можете поместить все три файла в одну директорию. Например, /etc/postfix.

Шаг 2. Добавьте SSL-сертификат в Postfix

Существует два подхода в зависимости от версии Вашего Postfix:

Для Postfix 3.4 и более новых версий

Создайте один «цепной файл», содержащий ключ, сертификат сервера и промежуточные продукты именно в таком порядке.

cat /path/to/privkey.key /path/to/server.crt /path/to/intermediate.pem > /etc/postfix/rsachain.pem

Этот современный метод позволяет избежать проблем с переносом и прекрасно работает с Postfix’ом smtpd_tls_chain_files.

Альтернатива (все версии)

Храните ключ отдельно и объедините только сертификат сервера с промежуточным(и):

cat /path/to/server.crt /path/to/intermediate.pem > /etc/postfix/server.pem

Вы будете ссылаться на эту связку и закрытый ключ в конфигурации Postfix.

Шаг 3: Настройте Postfix

Отредактируйте /etc/postfix/main.cf и выберите стиль конфигурации, который соответствует Вашей установке:

Вариант A — Postfix ≥ 3.4 (рекомендуется):

smtpd_tls_chain_files = /etc/postfix/rsachain.pem
smtpd_tls_security_level = may

Вариант B — Наследие

smtpd_tls_cert_file = /etc/postfix/server.pem
smtpd_tls_key_file = /etc/postfix/privkey.key
smtpd_tls_security_level = may

Используйте may для входящего SMTP на порту 25. Не устанавливайте encrypt на публичных MX-серверах, так как это нарушает совместимость с обычными отправителями.

Postfix уже отключает SSLv2/SSLv3 и слабые шифры, поэтому дополнительные черные списки не нужны, если только Вам не требуется аутентификация с помощью клиентских сертификатов.

Защитите службу отправки (порт 587)

Если Ваши пользователи отправляют почту через Postfix (через Outlook, Thunderbird, Apple Mail и т.д.), они будут подключаться через порт 587. Это порт отправки, отличный от порта 25, который предназначен для доставки между серверами.

Здесь Вы можете применять более строгие правила, поскольку они затрагивают только аутентифицированных пользователей. В разделе /etc/postfix/main.cf добавьте:

smtpd_tls_mandatory_protocols = >=TLSv1.2

В /etc/postfix/master.cf убедитесь, что отправка включена, и Вы можете переопределить ее следующим образом:

submission inet n - n - - smtpd
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_tls_mandatory_protocols=>=TLSv1.2

Шаг 4: Перезагрузите Postfix

Примените изменения, перезагрузив Postfix:

postfix reload
# or
systemctl reload postfix

Шаг 5: Проверьте сертификат

Проверьте, что Postfix обслуживает правильную цепочку с помощью OpenSSL:

openssl s_client -starttls smtp -connect yourdomain.com:25 -servername yourdomain.com </dev/null \
| openssl x509 -noout -issuer -subject

Вы должны увидеть сертификат Вашего сервера вместе с соответствующей цепочкой эмитента. Поздравляем, Вы успешно установили SSL-сертификат на Postfix.

Протестируйте Вашу установку SSL

После того, как Вы установили SSL-сертификат на Postfix, всегда полезно просканировать Вашу новую установку на предмет возможных ошибок или уязвимостей, просто чтобы быть начеку. С помощью этих мощных SSL-инструментов Вы можете получать мгновенные отчеты по всем аспектам Вашего SSL-сертификата и его конфигурации.

Где купить лучший SSL-сертификат для Postfix?

Вы уже достигли цели! Здесь, в SSL Dragon, мы предлагаем самый широкий ассортимент SSL-продуктов по невероятно низким ценам. Все наши сертификаты совместимы с агентом передачи почты Postfix.

Если Вы не знаете, какой сертификат выбрать, или пытаетесь найти идеальный продукт для Вашего сайта, наши быстрые и интуитивно понятные инструменты SSL Wizard и Advanced Certificate Filter сделают поиск более эффективным и приятным.

Если Вы обнаружили какие-либо неточности или у Вас есть что добавить к этим инструкциям по установке SSL, пожалуйста, не стесняйтесь присылать нам свои отзывы по адресу [email protected]. Ваш вклад будет очень признателен! Спасибо.

Сэкономьте 10% на SSL-сертификатах при заказе сегодня!

Быстрая выдача, надежное шифрование, 99,99% доверия к браузеру, специализированная поддержка и 25-дневная гарантия возврата денег. Код купона: SAVE10

Детальное изображение дракона в полете
Написано

Опытный автор контента, специализирующийся на SSL-сертификатах. Превращает сложные темы кибербезопасности в понятный, увлекательный контент. Вносите свой вклад в повышение уровня цифровой безопасности с помощью впечатляющих рассказов.