经过一番斗争,我已经设法configurationDovecot为用户login需要客户端证书,并且运行良好。
不过,我也想设置一个networking邮件解决scheme(Roundcube),它需要能够通过IMAP进行连接,但似乎无法发送客户端证书。 我将其configuration为使用端口143(未encryption),因为连接通过可信networking进行,考虑到这一点,我已将本地networking添加到Dovecot的login_trusted_networks以便明文validation也能正常工作。
不幸的是,当Roundcube连接时,即使连接没有启用SSL,它仍然被要求提供客户端证书。
我已经限制了客户端证书的要求,以避免与后缀使用下列问题:
protocol !smtp { ssl_ca = </etc/dovecot/ca/dovecot-ca.pem ssl_verify_client_cert = yes ssl_cert_username_field = commonName auth_ssl_require_client_cert = yes auth_ssl_username_from_cert = yes }
然而,我不知道如何进一步限制只有encryption的连接? 我不允许远程访问未encryption的协议,除了端口25是在服务器之间发送电子邮件所必需的。
作为一个安全注意事项,保护IMAPS连接的相同证书也被nginx用于客户端authentication,所以webmail已经被证书限制了,虽然我可以换一些其他的第二层authentication来实现移动性(例如,因子API)。