Установка подписанного CA SSL на Postfix Dovecot

Мануал по этой ссылке:

http://www.postfix.org/TLS_README.html

Она же первая в гугле по запросу "postfix ssl" или "postfix tls".

Все сертификаты с буквами CA — промежуточные. Их содержимое кладёте в один файл, который указываете в smtpd_tls_CAfile.

Файл с сертификатом для вашего домена указываете в smtpd_tls_cert_file.

Файл с ключом указываете в smtpd_tls_key_file.

Расширение файлов может быть любое. Главное — содержимое.

А куда все это добро раскладывать?

Есть специальные папки? Или рекомендованные, как лучше?

Есть например папки /etc/ssl/cert /etc/ssl/private /user/shared/ca_certificate это я привожу которые встречал в том что читал.

Это только для postfix/dovecot я так понимаю, а для https?

Например, запустить, чтобы вебморду для почты на домене mail.example.com?

---------- Добавлено 22.04.2015 в 14:41 ----------

Нужно ли конвертить в pem формат все это добро? Как проверить в каком у меня формате?

Это не так важно куда вы их положите, главное, что бы нужные вам программы (postfix/dovecot) имели право чтения сертификата и ключа, а посторонние программы и пользователи, не могли прочитать ключ

Уверен, что у вас сертификат в формате pem, если хочется проверить, сделать так: cat имя_сертификат, если в выводе будет "----- BEGIN CERTIFICATE -----", то значит он в формате pem.

Да что вы прицепились к этому расширению файла :)

Расширение файла только в виндовсе как-то влияет на то, как система и программы относятся к его содержимому.

Во всех этих файлах стандартная абракадабра:

-----BEGIN CERTIFICATE-----

... bla-bla-bla ...

-----END CERTIFICATE-----

Ничего конвертировать не нужно. Файлы можете назвать хоть "pem", хоть "exe", хоть вовсе без расширения.

Главное, чтобы внутри были ключи или сертификаты.

Кладёте их куда угодно, лишь бы в настройках программ были указаны правильные пути до них, и файлы были доступны для чтения.

---------- Добавлено 22.04.2015 в 15:11 ----------

Тогда уж сразу так

openssl x509 -in файл_сертификата -text

или так

openssl rsa -in файл_ключа -text

И увидите содержимое сертификатов и ключей (если они в "правильном" формате).

Я начитался, что типа толи Postfix толи Dovecot хотят ключ и сертификат в одном файле?

А CA сертификаты не важно в каком порядке в файл сгружать?

И не надо ли их в какую-нибудь системную папку сгружать?

Думаю логичнее будет создать папки в /etc/ssl/...

---------- Добавлено 22.04.2015 в 16:50 ----------

А в каком конфиге должен быть параметр smtpd_tls_CAfile ? Не могу найти (

---------- Добавлено 22.04.2015 в 17:08 ----------

при попытке импортировать почту вот что мне пишут Gmail:

SSL error: unable to verify the first certificate

Так это уже не Postfix, а Dovecot.

У него другой файл конфигурации и другой синтаксис.

Заходим в гугл и набираем: dovecot ssl

Это несложно.

https://www.google.ru/search?q=dovecot+ssl

Находим документацию:

http://wiki2.dovecot.org/SSL/DovecotConfiguration

Читаем.

Там всё написано и есть все наобходимые параметры.

Даже в самом конфиге dovecot-а все параметры подробно описаны.

Прописал в ssl_ca=/path/to/smtpd_tls_CAfile

Гмайл съел, но тест на вшивость не прошел:

openssl s_client -connect mail.mediatver.ru:pop3s

Verify return code: 19 (self signed certificate in certificate chain)

Ну не использовал я самоподписанный сертификат!

---------- Добавлено 22.04.2015 в 19:11 ----------

ssl_cert = </etc/ssl/mycerts/mail_example_ru.crt сертификат домена

ssl_key = </etc/ssl/mycerts/ssl_cert_example_ru.key сключ

ssl_ca = </etc/ssl/mycerts/smtpd_tls_CAfile.crt собранный из CA сертификатов

---------- Добавлено 22.04.2015 в 19:14 ----------

Certificate chain

openssl s_client -connect mail.mediatver.ru:pop3s -verify 5

Тоже самое

Значит в вашей системе, на которой вы делаете проверку, не установлены корневые сертификаты или ваш openssl не знает где они лежат.

А если openssl-у не известно, каким сертификатам доверять, то ясно дело все сертификаты будут считаться самоподписанными, потому что COMODO / Verisign / Thawte / и все остальные подписывают их САМИ ☝

Укажите конкретный путь к корневым сертификатам с помощью -CApath или -CAfile.

~ umka$ openssl s_client -connect mail.mediatver.ru:pop3s -CAfile ~/ssl/Certificates.pem 

CONNECTED(00000003)

depth=3 /C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root

verify return:1

depth=2 /C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority

verify return:1

depth=1 /C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Domain Validation Secure Server CA

verify return:1

depth=0 /OU=Domain Control Validated/OU=PositiveSSL/CN=mail.mediatver.ru

verify return:1

---

Certificate chain

 0 s:/OU=Domain Control Validated/OU=PositiveSSL/CN=mail.mediatver.ru

   i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Domain Validation Secure Server CA

 1 s:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Domain Validation Secure Server CA

   i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority

 2 s:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority

   i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root

 3 s:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root

   i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root

---

Server certificate

-----BEGIN CERTIFICATE-----

MIIFWDCCBECgAwIBAgIRAMAONsFs8E2+3XnyTj96GXQwDQYJKoZIhvcNAQELBQAw

gZAxCzAJBgNVBAYTAkdCMRswGQYDVQQIExJHcmVhdGVyIE1hbmNoZXN0ZXIxEDAO

BgNVBAcTB1NhbGZvcmQxGjAYBgNVBAoTEUNPTU9ETyBDQSBMaW1pdGVkMTYwNAYD

VQQDEy1DT01PRE8gUlNBIERvbWFpbiBWYWxpZGF0aW9uIFNlY3VyZSBTZXJ2ZXIg

Q0EwHhcNMTUwNDIxMDAwMDAwWhcNMTYwNDIwMjM1OTU5WjBVMSEwHwYDVQQLExhE

b21haW4gQ29udHJvbCBWYWxpZGF0ZWQxFDASBgNVBAsTC1Bvc2l0aXZlU1NMMRow

GAYDVQQDExFtYWlsLm1lZGlhdHZlci5ydTCCASIwDQYJKoZIhvcNAQEBBQADggEP

ADCCAQoCggEBAMz7vDMGZMEFH7Jh/l7nhO5wpvZFQinUUIHxrHIppsm8txKrDvyf

Xpa38ZP/EsUaj5qIf/CoWNMeT4cENKw1CJ6/Ws10UjA0WaF8vildbkf5sKmV048t

P6lZrtS5N2OUhzL5LU1deCnt0DhAWl5OhNPrhhKd/5IvQIyrsfUptKORysOKDBET

HPzaMsjgGy1wBx3CorcPYlKKxKXYGz/BZDPC0jabg4oGgzmKc4hyaFuC5x1gBjUE

xxDtcG5+f7IyLlIcp7tQKFz1T4qJgMxgCI0r24ySW5CeZpOR3/zLUU9iTN+FCXTB

krgZGAUm2YTJmZjhFEjia4xz9dVulQ43BScCAwEAAaOCAeUwggHhMB8GA1UdIwQY

MBaAFJCvajqUWgvYkOoSVnPfQ7Q6KNrnMB0GA1UdDgQWBBT5gCeHHA1m65rpouLK

0TxdDAL6jTAOBgNVHQ8BAf8EBAMCBaAwDAYDVR0TAQH/BAIwADAdBgNVHSUEFjAU

BggrBgEFBQcDAQYIKwYBBQUHAwIwTwYDVR0gBEgwRjA6BgsrBgEEAbIxAQICBzAr

MCkGCCsGAQUFBwIBFh1odHRwczovL3NlY3VyZS5jb21vZG8uY29tL0NQUzAIBgZn

gQwBAgEwVAYDVR0fBE0wSzBJoEegRYZDaHR0cDovL2NybC5jb21vZG9jYS5jb20v

Q09NT0RPUlNBRG9tYWluVmFsaWRhdGlvblNlY3VyZVNlcnZlckNBLmNybDCBhQYI

KwYBBQUHAQEEeTB3ME8GCCsGAQUFBzAChkNodHRwOi8vY3J0LmNvbW9kb2NhLmNv

bS9DT01PRE9SU0FEb21haW5WYWxpZGF0aW9uU2VjdXJlU2VydmVyQ0EuY3J0MCQG

CCsGAQUFBzABhhhodHRwOi8vb2NzcC5jb21vZG9jYS5jb20wMwYDVR0RBCwwKoIR

bWFpbC5tZWRpYXR2ZXIucnWCFXd3dy5tYWlsLm1lZGlhdHZlci5ydTANBgkqhkiG

9w0BAQsFAAOCAQEAYovE80EskqYk5Bji3ihXD2hcrDaomx2wCjLrm1ppSaS3jVzu

VrU6jKId34Azvk9EHifj8myL6GPuuh+yn5ZEwIrg5HsBmIzW+tg4QAO6+K1bL2+h

PrQfVoH9ZiK0nbniFIgck5qcXK4D8+QpMHdaiCggRL0XsAv5oyrJ+ClPisOxtq6R

baMfIQ2pRKfpDeiiYM1NQqKaOu4bsUqquFAcy5Td3bhPqnfG4YZqLVEKeh9MhmeQ

3Y7Cyo9kzgdEpl9cnXP5ir6x15X9A1e+YKU9psbSa/NImrU2kEcvI3BfioUJboi+

5NeyH1LV24whjjnv9Sai9zXrwOUVR3if/a6zxg==

-----END CERTIFICATE-----

subject=/OU=Domain Control Validated/OU=PositiveSSL/CN=mail.mediatver.ru

issuer=/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Domain Validation Secure Server CA

---

No client certificate CA names sent

---

SSL handshake has read 6110 bytes and written 328 bytes

---

New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA

Server public key is 2048 bit

Secure Renegotiation IS supported

Compression: NONE

Expansion: NONE

SSL-Session:

    Protocol  : TLSv1

    Cipher    : DHE-RSA-AES256-SHA

    Session-ID: D1FE55756A443EA50CEC933074D581DF516CF3326CC03CE8733B42972675258D

    Session-ID-ctx: 

    Master-Key: A2C443D277C3387FF2BE7202CE40E03EB350A3808AA8BC7C9ED152F014084C57B8BFE2D7F5D29A0724F431F771FBC801

    Key-Arg   : None

    Start Time: 1429777693

    Timeout   : 300 (sec)

    Verify return code: 0 (ok)

---

+OK Dovecot (Ubuntu) ready.

QUIT

DONE

~ umka$