Postfix, TLS și certificate autosemnate

user3168961

23.10.2022, 13:52

Încerc să configurez postfix cu TLS.

L-am reîmprospătat făcând următoarele, care elimină valorile implicite, astfel încât tls enable-server să actualizeze fișierul main.cf și să genereze certificate:

sudo postconf -X `postconf -nH | egrep '^smtpd(_|_enforce_|_use_)tls'`
sudo postfix tls enable-server
sudo postfix reload

Multe instrucțiuni pe care le-am urmat par să indice că acesta este tot ceea ce este necesar pentru a activa TLS.

Când rulez următoarele...

openssl s_client -connect mailhost:25 -starttls smtp

primesc eroarea:

Eroare de verificare: certificat autosemnat

Aceasta produce eroarea din aplicația mea:

stream_socket_enable_crypto(): operațiunea SSL a eșuat cu codul 1. Mesaje de eroare OpenSSL:  
  eroare:1416F086:Rutine SSL:tls_process_server_certificate:verificarea certificatului a eșuat

Dacă înțeleg, comanda enable-server va genera un certificat autosemnat pentru mine, iar alte surse îmi spun că asta este necesar.

Există ceva ce am înțeles greșit despre autosemnare și postfix? De ce primesc o eroare de validare?

748

1 + 0

pop3

Puncte:1

Server

Steffen Ullrich

23.10.2022, 15:33

Certificatul cu autosemnare înseamnă că nu este emis de o autoritate de certificare de încredere publică, cum ar fi Let's Encrypt. Aceasta înseamnă că certificatul nu va fi de încredere de aplicațiile care au doar încredere în certificatele emise public - adică majoritatea aplicațiilor. De aceea primești această eroare de validare.

0 + 2

Thomas Ward

23.10.2022, 15:37

Deși există modalități de a ignora certificatele nevalide (adică TLS fără validare, ceea ce este obișnuit în lumea SMTP+TLS pentru oamenii lenesi), sunteți 100% exact că certificatele „autosemnate” nu vor fi niciodată de încredere de aplicațiile de la distanță și altele asemenea. . Poate doriți să menționați lui OP că, dacă intenționează ca acesta să fie valid și să nu declanșeze acea eroare, trebuie să obțină un certificat SSL legitim pentru utilizare pe serverul lor de e-mail.

Răspunde

Steffen Ullrich

23.10.2022, 16:02

@ThomasWard: Deși aveți dreptate în general, din păcate nu se știe nimic despre cazul de utilizare al OP. Ar putea fi o instalare a Postfix pentru a livra e-mailuri locale, ar putea fi un server la nivel de companie sau ar putea fi un sistem orientat spre internet. Ce fel de certificat să obțineți și cum să obțineți ar depinde foarte mult de cazul de utilizare (necunoscut).

Răspunde

SEF 777

întrebarea această in alte limbi:

EN: Postfix, TLS and self-signed certificates

TH: Postfix, TLS และใบรับรองที่ลงนามเอง

RO: Postfix, TLS și certificate autosemnate

RU: Postfix, TLS и самозаверяющие сертификаты

VI: Postfix, TLS và chứng chỉ tự ký

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.