Posts Tagged ‘SSL’

Postfix: SSL

Friday, June 18th, 2010

Onlangs viel op dat Postfix problemen rapporteerde zoals:

certificate verification failed for mail.bommelnetworks.nl[178.63.246.249]:25: untrusted issuer /O=Root CA/OU=http://www.cacert.org/CN=CA Cert Signing Authority/emailAddress=support@cacert.org

Wat blijkt, standaard (tenminste, onder Debian) zijn er geen Certificate Authorities geconfigureerd. Ter referentie, de configuratie zoals ik deze nu zelf gebruik:

smtpd_tls_security_level = may
smtpd_tls_key_file = /etc/ssl/private/mail.bommelnetworks.nl.pem
smtpd_tls_cert_file = /etc/ssl/certs/mail.bommelnetworks.nl.pem
smtpd_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
smtpd_tls_mandatory_ciphers = HIGH
smtpd_tls_exclude_ciphers = ADH, aNULL, eNULL, NULL
smtpd_tls_mandatory_exclude_ciphers = ADH, aNULL, eNULL, NULL
smtpd_tls_mandatory_protocols = TLSv1, SSLv3

smtp_tls_security_level = may
smtp_tls_key_file = /etc/ssl/private/mail.bommelnetworks.nl.pem
smtp_tls_cert_file = /etc/ssl/certs/mail.bommelnetworks.nl.pem
smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
smtp_tls_mandatory_ciphers = HIGH
smtp_tls_exclude_ciphers = ADH, aNULL, eNULL, NULL
smtp_tls_mandatory_exclude_ciphers = ADH, aNULL, eNULL, NULL
smtp_tls_mandatory_protocols = TLSv1, SSLv3

Hou er verder rekening mee dat Postfix deels in een chroot() draait, en dat daarmee /etc/ssl/certs eigenlijk op een andere plek staat! Zie eventueel /etc/init.d/postfix voor details.