[Postfix-es] Postfix con TLS

Ronald Urbano ronald en cyberline.com.pe
Mar Abr 11 02:16:20 CEST 2006 

Saludos señores, estoy probando TLS entre dos Postfix (uno cliente y 
otro servidor), cada uno tiene su propio certificado autofirmado(cada 
uno es su propio CA).

Cuando el cliente Postfix con TLS intenta enviar un correo al servidor, 
no logra completar la transacción, en el log del Postfix devuelve entre 
otras cosas algo como:

"Peer verification: CommonName in certificate does not match: lolo != 
192.168.2.6"
 y finalmente:
"....... relay=192.168.2.6[192.168.2.6], delay=2794, status=deferred 
(TLS-failure: Could not verify certificate) "

Me parece algo como que al firmar las llaves debo ponerle un mismo 
nombre? o algo asi?, me he basado en la documentación TLS de la web de 
Postfix, entre mucha busqueda en Google solo decian  que  adiera en el 
fichero o directorio donde se guardan las llaves, el "cacert.pm"(llave 
publica del CA) del servidor "Postfix tls cliente" al "Postfix tls 
servidor".

 
¿Es acaso necesario hacer esto último?, 
No quisiera algo como esto ya que estoy haciendo estas pruebas para poner un Postfix (tanto como tls server y como tls cliente)  en produccion, y no me serviria tener que pasarle antes mis llaves a otro servidor para que pueda funcionar la encriptación.

¿Acaso no se copian entre los servidores que hacen la transacción, las llaves publicas que aderí tanto en:
smtpd_tls_cert_file  (lado servidor)
y
smtp_tls_cert_file (lado cliente)

?

Finalmente mi configuracion actual:


Lado Postfix servidor:
----------------------
smtpd_use_tls = yes
smtpd_tls_key_file = /etc/postfix/lolokey_priv.pem
smtpd_tls_cert_file = /etc/postfix/lolokeyPublic_signed_mas_cacert.pem
smtpd_tls_CAfile = /etc/postfix/cacert.pem
smtp_tls_loglevel = 2


Lado Postfix cliente:
---------------------
smtp_use_tls = yes
smtp_tls_key_file = /etc/postfix/tls/mailkey.pem
smtp_tls_cert_file = /etc/postfix/tls/mail_signed_cert.pem
smtp_tls_CAfile = /etc/postfix/tls/cacert.pem
smtp_tls_loglevel = 2
smtp_tls_note_starttls_offer = yes
smtp_enforce_tls = yes
smtp_tls_enforce_peername = no


Anticipadamente, Agradesco mucho la ayuda que puedan prestarme.


Atte.

--
Ronald Urbano

Más información sobre la lista de distribución Postfix-es