[postfix-es] Como configurar TLS en postfix

lestrobe lestrobe en mundo-r.com
Mar Sep 11 16:17:23 CEST 2012 

El Mon, 10 Sep 2012 15:30:46 -0300
Federico Alberto Sayd <fsayd en uncu.edu.ar> escribió:
> On 10/09/12 14:40, lestrobe wrote:
> > Hola estoy intentando configurar tls en postfix y tengo unas cuantas
> > dudas.
> >
> > Yo tenia un servidor funcionando con un certificado autogenerado y
> > va bien pero queria cambiarlo para usar un certficiado de verdad
> > expedido por una Autoridad competente (no como yo :D).
> >
> > y me encuentro con algunas dudas:
> >
> >
> > PRIMERA:
> >
> > La autoridad certificadora me ha dado  un certificado en forma de
> > dos ficheros .pem, uno privado otro prublico como toda la vida
> > (supongo)
> >
> >
> > La clave privada .key esta encriptada.
> >
> > ¿es mas seguro mantener el fichero privado encriptado, o tengo que
> > desencriptalo forzosamente para poder usarlo?
> Postfix necesita tener a la clave tal cual es, claro que es seguro 
> tenerla cifrada por si alguien accede a tu sistema, pero tiene la 
> desventaja de que de alguna forma tendrás que especificar la clave de 
> encripción a Postfix para que puede descifrar la clave privada.
> >
> >
> >
> > SEGUNDA:
> > En el main.cf si el  "Cert_file" es el certificado publico y el
> > "key_file" el privado ¿para que vale el smtpd_tls_CAfile? del
> > main.cf
> >
> > 	smtpd_tls_CAfile = /etc/postfix/certs/CAcert.pem
> > 	smtpd_tls_cert_file = /etc/postfix/certs/mycert.pem
> > 	smtpd_tls_key_file = /etc/postfix/certs/mykey.pem
> >
> El certificado CA es un certificado intermedio que no siempre se 
> utiliza, si tu proveedor de certificados es una autoridad
> intermediaria puedes llegar a necesitarlo, en ese caso consulta la
> documentación que te provee tu proveedor de certificados digitales.
> > TERCERA:
> >
> >    En el mundillo este de los certificados las extensiones sirven
> > para algo? por que he mirado muchos tutoriales y parece que existe
> > ningun control todo son ficheros de texto y las
> > extensiones .pem .crt .key se usan practicamente al azar
> > idependientemente de lo que lleven dentro.
> >
> >    Parece una tonteria pero me despista mucho
> >
> Hay diferentes tipos de formatos de certificados, los que usualmente
> se conocen como pem, son certificados encodeados en base64 en modo
> texto, los terminados en .der por lo general son archivos binarios y
> suelen usarse más en entornos Windows y Java. Puedes usar el comando
> file para saber qué tipo de certificado estás manejando.
> >
> > gracias por la ayuda.
> >



Gracias por responder Federico.

  Para que quede en los logs para el siguiente despistado dejo este
  enlace donde se explica un poco como va eso del certificado
  intermedio que no entendia de donde salia.
    http://dns.bdat.net/documentos/certificados_digitales/x309.html

Supongo que hare lo que me sugieres y pondre el .pem del certificado
primado y publico en el postfix tal cual.

Y pasare de saber para que se usan esos CAcert.pem

Más información sobre la lista de distribución postfix-es