我正在尝试配置一个 postfix 邮件服务器,以使用 TLS 加密 SMTP(以及带有 dovecot 的 IMAP,但我还没有做到这一点)。它在 Fedora 14 机器上运行,我正在使用 webmin 来管理它。
我有一个 Windows 域,其中的 DC 也设置为 Microsoft 证书颁发机构,并且我创建了一个 GP,将 CA 添加为受信任的根 CA。我安装了 Web 服务,因此我可以转到 localhost/certsrv 来请求新证书。无论如何,我想使用 Microsoft CA 为 postfix 邮件服务器创建私钥、公钥和 CA 证书。
目的是让所有使用 SMTP(以及后来的 IMAP)连接到服务器的用户都使用 SSL/TLS,并且由于信任 CA 而信任该服务器。
如果您需要更多信息或任何建议,请告诉我。
答案1
如果您的目标是在 Postfix 服务器上拥有可验证的证书,则可以向 Postfix 提供 CA 链文件并将 CA 根证书导入所有客户端;这将遵循 CA 颁发的所有证书链。
引自http://www.postfix.org/postconf.5.html#smtpd_tls_cert_file:
要使远程 SMTP 客户端能够验证 Postfix SMTP 服务器证书,必须向客户端提供颁发 CA 证书。您应该在服务器证书文件中包含所需的证书,首先是服务器证书,然后是颁发 CA(自下而上的顺序)。
例如:“server.example.com”的证书是由“中间 CA”颁发的,而“中间 CA”本身拥有“根 CA”的证书。使用“cat server_cert.pem middle_CA.pem root_CA.pem > server.pem”创建 server.pem 文件。