[Postfix-es] Usando TLS en postfix
Daniel Solsona Moratiel
dani en netsupport-si.net
Vie Mayo 13 12:38:12 CEST 2005
Ups me colé con el mail anterior
> Hola de nuevo.
Hola :-)
> Vamos avanzando y encontrando nuevos inconvenientes.
> Estoy tratando de crear certificados digitales para usarlos en postfix
(sigo
> con el manual de Jaume Sabater), he creado los certificado y copiado al
directorio /etc/postfix/ssl/, modificado el propietario y asignado los
permisos de lectura sólo para root, tal como se indica en el manual.
Después
> he modificado postfix añadiendo las lineas
Ya me lei ese manual de Jaume, esta muy currado.
>
> smtpd_use_tls = yes
> #smtpd_tls_auth_only = yes
> smtpd_tls_key_file = /etc/postfix/ssl/newreq.pem
> smtpd_tls_cert_file = /etc/postfix/ssl/newcert.pem
> smtpd_tls_CAfile = /etc/postfix/ssl/cacert.pem
>
> smtpd_tls_loglevel = 3
> smtpd_tls_received_header = yes
> smtpd_tls_session_cache_timeout = 3600s
> tls_random_source = dev:/dev/urandom
Hasta aquí todo correcto, lo tienes como yo.
> He mirado igualmente el HOWTO
> (http://postfix.state-of-mind.de/patrick.koetter/smtpauth/postfix_tls_support.html),
modificando el openssl.cnf.
> Al hacer el telnet me ocurre esto.
> # telnet localhost 25
> Trying 127.0.0.1...
> Connected to localhost.
> Escape character is '^]'.
> 220 webmail.aldiagestion.com ESMTP Postfix (Debian/GNU)
> EHLO localhost
> 250-webmail.aldiagestion.com
> 250-PIPELINING
> 250-SIZE 10240000
> 250-VRFY
> 250-ETRN
> 250-STARTTLS
> 250 8BITMIME
> STARTTLS
> 454 TLS not available due to temporary reason
>
> Como diferencia con lo explicado en el manual, me he encontrado, que al
parecer no hay que añadir una contraseña al crear el certificado. Pero
no me
> lo ha permitido. Si no le ponía una contraseña de al menos 4 caracteres
no me
> dejaba continuar. Por lo que he tenido que ponerla.
Es por eso por lo que falla, al tener contraseña no lo puede abrir
directamente.
> Igualmente, en el manual de "adding TLS support to postfix", me he
encontrado
> que había que modificar unas líneas del archivo CA.pl. Pero las líneas
que indicaba no están en ese archivo, sino en CA.sh.
>
> ¿Alguna ayuda, por favor?.
He mirado un poco por Internet y he encontrado un par de páginas.
En
http://www.aet.tu-cottbus.de/personen/jaenicke/postfix_tls/doc/myownca.html
explica como modificar el CA.pl para que no te pida password. Tienes que
añadir "-nodes" en la linea donde te aparezca "-newcert" o "-newreq"
Luego en otra página he encontrado teoricamente como quitar la passphrase, en
http://www.defcon1.org/html/Software_Articles/Direct-X/VNC-Server/CVS-Server/postfix-smtp.html
READ BELOW IF YOU RECIEVE THOSE ERRORS SHOW, DO WHATS BELOW THIS LINE
1. Use 'openssl rsa -in key.pem -text' to get a printout of the private
key. 2. remove a passphrase using openssl rsa -in key.pem -out
key_unprot.pem
then rename key_unprot.pem to key.pem in the same directory as your copied
it to from earlier
Y ahora, según lo he entendí yo todo el proceso, primero te creas tu
propio CA (aquí te pide passphrase, pero no es problema) Cuando eres un CA
tienes que crear el certificado. Es en este punto donde entra el -nodes
para que no pida passphrase. Y ya por ultimo tienes que firmar el
certificado con tu propia CA (En este paso te pedira la passphrase del CA)
Así es como yo he entendido todo el tinglado.
Más información sobre la lista de distribución Postfix-es