Satura rādītājs
Mēs sākam, sakot, kā nodrošināt pienācīgu drošību ar TLS šifrēšanu e -pastos, tīmekļa sūtījumos … Mēs pieņemam, ka serverim ir Linux Centos operētājsistēma, bet tas ir līdzīgs citiem izplatījumiem.Pirmā lieta, kas mums jādara, ir ģenerēt sertifikātu un ciparparakstu. No termināļa mēs nokļūstam direktorijā / etc / pki / tls /
cd / etc / pki / tls /
Pēc tam mēs ģenerējam digitālo parakstu, kas izveidots ar 1024 baitu DSA algoritmu, šim nolūkam mēs izmantojam jau instalēto openssl, mēs ģenerējam parakstu ar šādu komandu.
openssl dsaparam 1024 -out dsa1024.pem
Pēc tam izveidotais DSA parametru fails tiek izmantots, lai izveidotu atslēgu ar DSA algoritmu un x509 struktūru, kā arī sertifikātu. Es jums tagad sniegšu piemēru, kas nosaka derīguma termiņu 1095 dienas (trīs gadus), par kuru mēs izveidojam izveidoto sertifikātu.
openssl req -x509 -nodes -newkey dsa: dsa1024.pem -days 1095 -out certs / smtp.crt -keyout private / smtp.key
Kad iepriekšējā darbība ir pabeigta, mēs varam (drošības labad) izdzēst parametru failu dsa1024, pem (izmantojiet komandu rm un jūs to izdzēsāt). Tagad ir izveidoti 2 faili: atslēga un sertifikāts, tāpēc mums ir jāpiešķir viņiem tikai lasīšanas atļaujas, neaizmirstiet to.
chmod 400 certs / smtp.crt chmod 400 private / smtp.key
Tagad mums jādodas uz direktoriju / etc / pki / dovecot / ar šādu komandu
cd / etc / pki / dovecot /
Mēs varam noņemt visus vispārējos sertifikātus, lai notīrītu neizmantotos failus
rm -f private / dovecot.pem certs / dovecot.pem
Tad mums ir jāizveido Dovecot digitālais paraksts un sertifikāts, kas ir IMAP un POP3 serveris. Dovecot ir jāizmanto 1024 baitu RSA algoritma atslēga ar X.509 struktūru. Zemāk redzamajā piemērā izveidotā sertifikāta derīguma termiņš ir 1095 dienas (trīs gadi). Mēs izveidojam atslēgu
openssl req -x509 -nodes -newkey rsa: 1024 -dienas 1095 -out certs / dovecot.pem -keyout private / dovecot.pem
Mēs izveidojam sertifikātu
openssl x509 -subject -pirkstu nospiedums -no -in certs / dovecot.pem
Sertifikātiem mēs piešķiram tikai lasīšanas atļaujas
chmod 400 private / dovecot.pem certs / dovecot.pem
Visbeidzot, mēs konfigurējam Postfix. Mēs atgriežamies saknes direktorijā un rediģējam failu /etc/postfix/master.cf
Failu iekšpusē mums ir jānoņem # rindu priekšā, lai tie netiktu komentēti un pēc tam tos varētu izpildīt.
smtp inet n - n - - smtpd iesniegšana inet n - n - - smtpd -o smtpd_tls_security_level = šifrēt -o smtpd_sasl_auth_enable = jā -o smtpd_client_restrictions = atļaut_sasl_autentificēts, noraidīt -o smt -smt_ smt -o smtrapname, noraidīt -o smtrapname-in-macrops_data, noraidīt -o smtrapname-OR smtrapname, noraidīt -o smtrapname-OR smtrapname, reject-smtrapIN-o-macropsname, reject-smtrapname-OR-smtrapname, reject-smtrapname_data, reject -o smtrapname jā -o smtpd_sasl_auth_enable = jā -o smtpd_client_restrictions = allow_sasl_authenticated, noraidīt -o milter_macro_daemon_name = ORIGINATING
Tad mēs konfigurējam /etc/postfix/main.cf Kur mēs mainām rindas ar vispārēju domēnu:
# Definējiet sistēmas resursdatora nosaukumu (resursdatora nosaukumu). myhostname = mail.domain.com # Definējiet galveno pārvaldāmo domēnu. mydomain = domēns.com
Failā /etc/dovecot/conf.d/10-ssl.conf, mums arī jāatceļ šādas rindas:
ssl = jā ssl_cert =
Mēs sākam pakalpojumus, lai sertifikāti tiktu atpazīti, un ar komandu pakalpojuma XXX sākšana mēs pievienojam šos pakalpojumus sistēmas palaišanas laikā.
chkconfig dovecot par chkconfig postfix pakalpojumā saslauthd sākt pakalpojumu dovecot sākt pakalpojumu postfix restart
Tādā veidā, kā redzat, mums būs labi konfigurēts un aktīvs TLS, lai šifrētu mūsu pastu gan saņemšanas, gan nosūtīšanas laikā. Es ceru, ka jums noderēja tas, kā man tas bija vajadzīgs pirms neilga laika.Vai jums patika šī apmācība un palīdzējāt tai?Jūs varat apbalvot autoru, nospiežot šo pogu, lai sniegtu viņam pozitīvu punktu
