我为 获得了一个 thawte Wildcard SSL-Cert *.my.example.com。
现在我想将它用于我的邮件服务器(主机名test.my.example.com:)。
我编辑了该/etc/postfix/postfix_default.pem文件并将其中的密钥、证书和 ca 包含在内。
不幸的是 SSL 检查失败并出现错误
未知权限
或者
证书未验证:无法获取本地颁发者证书
我必须要改变我的配置吗?
答案1
Postfix 有完善的文档。针对您的主题:http://www.postfix.org/TLS_README.html
具体来说,您遇到问题是因为 Postfix 无法找到完整的证书信任链直至受信任的 CA。您必须向该链提供您的终端服务器证书。
这意味着您必须将所有中间 CA 都包含在您提供给 Postfix 的证书包中,首先是终端服务器证书,然后是从下到上的所有 CA:
cat server_cert.pem intermediate_CA.pem > server.pem
我们将密钥实现到自己的文件中,因此我的配置如下所示(在main.cf):
smtpd_tls_cert_file = /path/to/server.pem
smtpd_tls_key_file = /path/to/server.key
当然,密钥文件应该保持安全,只对 root 用户开放读取权限(Postfix 以 root 身份启动,读取后放弃权限)。您可以将证书链和密钥都包含在一个文件中,然后在两个设置中指定相同的文件。
这只是 smtpd (SMTP服务器组件)配置。Postfix 还具有 SMTP客户客户端在发送出站邮件时用来连接其他服务器的组件。客户端有自己的配置,通常您必须使用另一个证书。服务器证书应具有“SSL 服务器”用途,而客户端证书则需要“SSL 客户端”用途。有关详细信息,请参阅我链接的手册页。