我为*.my.example.com获得了*.my.example.com通配符SSL证书。
现在我想用我的邮件服务器(主机名: test.my.example.com )。
我编辑了/etc/postfix/postfix_default.pem ,并在这个文件中包含了key,cert和ca。
不幸的是,SSL检查失败,错误
未知的权威
要么
证书无效:无法获得本地签发人证书
我有什么需要改变我的configuration?
Postfix有一个完美的文档。 对于您的主题: http : //www.postfix.org/TLS_README.html
特别是,你有一个问题,因为Postfix无法find一个完整的证书信任链直到受信任的CA. 您必须为您的最终服务器证书提供该链。
这意味着您必须将所有中间CA包含到您提供给Postfix的证书包中,最终服务器证书是第一个,然后是从下到上的所有CA:
cat server_cert.pem intermediate_CA.pem > server.pem
我们在自己的文件中实现了key,所以我的configuration如下所示(在main.cf中):
smtpd_tls_cert_file = /path/to/server.pem smtpd_tls_key_file = /path/to/server.key
当然,密钥文件应该保持安全,只能读取到根目录(Postfix以root身份启动,读取并删除权限)。 您可以将证书链和密钥都包含在一个文件中,然后在两个设置中指定相同的文件。
这只是“smtp服务器”(smtpd)configuration。 Postfix也有一个smtp客户端(当连接到其他服务器在那里发送邮件时使用)。 它也需要自己的configuration,可能你必须使用另一个证书。 服务器证书应该有“ssl服务器”的用途,而smtp客户端证书则需要“ssl客户端”的用途。 有关详细信息,请参阅链接到的手册页。