Настройка SSL/TLS в Apache, Posfix, Dovecot на примере сертификатов от Globalsign.

В случае с купленным сертификатом в вашем распоряжении будет четыре сертификата: приватный сертификат (server.key), публичный сертификат (server_cert.pem), сертификат промежуточного центра сертификации (intermediate_CA.pem), и рут-сертификат центра сертификации (root_CA.pem). Названия файлов вплоть до расширения могут быть любыми, главное содержимое.

Для того чтобы удаленный клиент мог запустить проверку сертификата сервера, выпущенные сертификаты центра сертификации (CA) должны быть ему доступны. Для этого необходимо включить в сертификат сервера (публичный сертификат) необходимые сертификаты центра сертификации. Например, создайте сертификат сервера server.pem командой “cat server_cert.pem intermediate_CA.pem root_CA.pem
> server.pem”. Порядок следования сертификатов важен.

В результате вы получаете два сертификата: приватный (server.key) и публичный (server.pem), которые мы укажем в соответствующих строках конфигурационных файлов postfix и dovecot. Не забудьте выставить права доступа (права – 0400, владелец – root) к файлу server.key.

POSTFIX


# SSL/TLS
smtpd_use_tls = yes
smtpd_tls_key_file = /etc/postfix/ssl/server.key
# След-ий файл содержит сертификат сервера, промежуточный сертификат и 
# рут-сертификат центра сертификации в порядке убывания
smtpd_tls_cert_file = /etc/postfix/ssl/server.pem
smtpd_tls_loglevel = 1

# SSL/TLS

smtpd_use_tls = yes

smtpd_tls_key_file = /etc/postfix/ssl/server.key

# След-ий файл содержит сертификат сервера, промежуточный сертификат и

# рут-сертификат центра сертификации в порядке убывания

smtpd_tls_cert_file = /etc/postfix/ssl/server.pem

smtpd_tls_loglevel = 1

DOVECOT


# SSL
ssl = yes
ssl_cert = </etc/postfix/ssl/server.pem
ssl_key = </etc/postfix/ssl/server.key

# SSL

ssl = yes

ssl_cert = </etc/postfix/ssl/server.pem

ssl_key = </etc/postfix/ssl/server.key

APACHE


SSLEngine on
#Паблик сертификат сервера
SSLCertificateFile /etc/httpd/ssl/server.crt
#Приватный сертификат сервера
SSLCertificateKeyFile /etc/httpd/ssl/server.key
# След-ий файл содержит промежуточный сертификат и 
# рут-сертификат центра сертификации в порядке убывания
SSLCertificateChainFile /etc/httpd/ssl/root_chain.pem

SSLEngine on

#Паблик сертификат сервера

SSLCertificateFile /etc/httpd/ssl/server.crt

#Приватный сертификат сервера

SSLCertificateKeyFile /etc/httpd/ssl/server.key

# След-ий файл содержит промежуточный сертификат и

# рут-сертификат центра сертификации в порядке убывания

SSLCertificateChainFile /etc/httpd/ssl/root_chain.pem

Проверка правильности настроек:
openssl s_client -connect your.domain.ru:imaps
openssl s_client -connect your.domain.ru:smtps
openssl s_client -connect your.domain.ru:https
Смотрим последнюю строчку: Verify return code: 0 (ok)

Записки админа

Настройка SSL/TLS в Apache, Posfix, Dovecot на примере сертификатов от Globalsign.

Оставить комментарий