TLS证书
一、自己开设认证中心(CA)
1.热行以下命令回答完所有问题后完成,它会在./demoCA/目录下产生架设CA所需要的全部文件,包括用来签
署证书的"CA数字签名"(又称"根证书")
#/usr/local/ssl/misc/CA.pl -newCA
2.产生服务器端证书(公钥、私钥、CSR)
$openssl req -new -nodes -keyout mailkey.pem =out mailreg.pem -days 365
3.交给CA签署,核发证书
#openssl ca -out mail_signed_cert.pem -infiles mailreg.pem
4.将所有证书文件放到postfix的配置文件目录下
#cp /usr/local/ssl/mailkey.pem /etc/postfix
#cp /usr/local/ssl/mail_signed_cert.pem /etc/postfix
mailkey.pem文件存有服务器的公钥,mail_signed_cert.pem是CA签署的公开证书(可放心“散播”).
5.设定权限保护文件,保护公钥
#chown root /etc/postfix/mailkey.pem
#chmod 400 /etc/postfix/mailkey.pem
6.搜集(所有)CA的根证书集中在/etc/postfix/cacert.pem文件里
#cp /usr/local/ssl/demoCA/cacert.pem /etc/postfix
7.将新的CA根证书安装到postfix/TLS系统(两种方法)
a.将所有根证书集中一个文件,并将smtpd_tls_CAfile参数指向此文件,如有新根证书,就追加到该文件尾
部
#cp /etc/postfix/cacert.pem /etc/postfix/cacert.pem.old
#cat newCA.pem >>/etc/postfix/cacert.pem
b.将每个CA的根证书放在一个专用目录下的个别文件里,每间当有新的证书文件就存放在此目录下,然后
执行openssl的c_rehash命令即可
#cp newCA.pem /etc/postfix/certs
#c_rehash /etc//postfix/certs
二、设定postfix/TLS(启用postfix的TLS支持)
8.启用TLS支持,编辑main.cf文件里参数
smtp_use_tls = yes
9.指向服务器私钥文件
smtp_tls_key_file = /etc/postfix/mailkey.pem
10.指向服务器pem证书文件(必须经过CA签署)
smtpd_tls_cert_file = /etc/postfix/mail_signed_cert.pem
11.指向CA根证书文件,该文件含有你愿意信任的CA的公开证书
smtpd_tls_CAfile = /etc/postfix/cacert.pem
12.指向CA根证书文件目录
smtpd_tls_CApath - /etc/postfix/certs
阅读(942) | 评论(0) | 转发(0) |
