Certificaten

Tot nu toe heb ik self-signed certificate gebruikt. Dat werkt op zich prima, maar nadeel daarvan is dat bij het ophalen van bijvoorbeeld mail er elke keer een waarschuwing verschijnt dat het mogelijk onveilig zou zijn. Om dit probleem op te lossen ga ik de gratis certificaten van cacert.org gebruiken.

De stappen zijn als volgt:

  • een key aanmaken De key maken we aan met het commando:
#  openssl genrsa -out zomaarroland.key 1024
  • een csr (certificate signing request) aanmaken Voor het maken van de csr geven we de opdracht:
# openssl req -new -key zomaarroland.key -out zomaarroland.csr
  • csr naar cacert.org sturen Via de website van cacert.org kan een nieuwe certificaat worden aangemaakt. De inhoud van het .csr bestand dient daarvoor te worden geplakt in het formulier op de site. Na ondertekening door cacert.org verschijnt het certificaat op het scherm. Die informatie kan in een nieuw bestand worden geplakt. In mijn voorbeeld noem ik het zomaarroland.crt

  • geschikt maken certificaat voor Courier Om het certificaat geschikt te maken voor Courier zijn nog twee aanvullende opdrachten nodig:

 server.pem
# openssl gendh >> server.pem

Nu hoeven we alleen nog het rootcertificaat van cacert.org toe te voegen aan de mailclient om te zorgen dat Thunderbird de cacert.org erkend als ondertekenaar. Als laatste herstarten we de Courier service.

Om het certificaat in Postfix te kunnen gebruiken zijn er nog enkele wijzigingen in main.cf nodig:

smtpd_tls_key_file = /etc/postfix/tls/zomaarroland.key
smtpd_tls_cert_file = /etc/postfix/tls/zomaarroland.crt
smtpd_tls_CAfile = /etc/postfix/tls/cacert.pem
smtpd_use_tls = yes