4、TLS支持
通过修改/usr/lib/ssl/misc/CA.pll脚本实现,以下修改后CA1.pl和未修改CA.pl之间的对比:
***CA.pl ---CA1.pl *************** ***59,69**** }elsif(/^-newcert$/){ #createacertificate !system("$REQ-new-x509-keyoutnewreq.pem-outnewreq.pem$DAYS"); $RET=$?; print"Certificate(andprivatekey)isinnewreq.pem\n" }elsif(/^-newreq$/){ #createacertificaterequest !system("$REQ-new-keyoutnewreq.pem-outnewreq.pem$DAYS"); $RET=$?; print"Request(andprivatekey)isinnewreq.pem\n"; }elsif(/^-newca$/){ ---59,69---- }elsif(/^-newcert$/){ #createacertificate !system("$REQ-new-x509-nodes-keyoutnewreq.pem-outnewreq.pem$DAYS"); $RET=$?; print"Certificate(andprivatekey)isinnewreq.pem\n" }elsif(/^-newreq$/){ #createacertificaterequest !system("$REQ-new-nodes-keyoutnewreq.pem-outnewreq.pem$DAYS"); $RET=$?; print"Request(andprivatekey)isinnewreq.pem\n"; }elsif(/^-newca$/){ |
现在就能够使用修改的CA1.pl来签发证书:
| #cd/usr/local/ssl/misc #./CA1.pl-newca #./CA1.pl-newreq #./CA1.pl-sign #cpdemoCA/cacert.pem/etc/postfix/CAcert.pem #cpnewcert.pem/etc/postfix/cert.pem #cpnewreq.pem/etc/postfix/key.pem |
修改main.cf,添加:
smtpd_tls_cert_file=/etc/postfix/cert.pem smtpd_tls_key_file=/etc/postfix/privkey.pem smtpd_use_tls=yes tls_random_source=dev:/dev/urandom tls_daemon_random_source=dev:/dev/urandom |
重起postfix后就能够看到250-STARTTLS
很多邮件客户端对TLS的支持并不是很好,建议使用stunnel来实现相应的smtp和pop3加密。
#apt-getinstallstunnel
证书:
| #opensslreq-new-x509-days365-nodes-config/etc/ssl/openssl.cnf-outstunnel.pem-keyoutstunnel.pem #opensslgendh512>>stunnel.pem |
服务端:
#stunnel-d60025-r25-snobody-gnogroup #stunnel-d60110-r110-snobody-gnogroup |
假如使用-npop3等参数就只能用邮件客户端收信。
客户端:
建一个stunnel.conf文档:
client=yes [pop3] accept=127.0.0.1:110 connect=192.168.7.144:60110 [smtp] accept=127.0.0.1:25 connect=192.168.7.144:60025 |
然后启动stunnel.exe,在邮件客户端的smtp和pop3的服务器都填127.0.0.1就能够了,这样从您到邮件服务器端的数据传输就让stunnel给您加密了。
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
