Certificaten en mail
Vandaag ben ik aan het stoeien geweest om met certificaten te gebruiken als authorisatie voor het versturen van email. Henk is daar ook al enige tijd mee [bezig][1]. Dit bericht is vooral bedoeld als een samenvatting om het werkend te krijgen, het is dus geen volledig stappenplan.
Postfix
Allereerst moet de mailserver weten dat hij vanaf nu om certificaten moet gaan vragen en geen gebruikersnaam en wachtwoord meer. Hiervoor passen we de main.cf aan:
smtpd_recipient_restrictions = permit_mynetworks permit_tls_clientcerts reject_unauth_destination
smtpd_tls_security_level = may
smtpd_tls_ask_ccert = yes
smtpd_tls_auth_only = yes
relay_clientcerts = hash:/etc/postfix/relay_clientcerts
In de master.cf passen we de volgende regel aan:
submission inet n - - - - smtpd -o smtpd_tls_security_level=encrypt
In de main.cf heb ik die instelling op
### Het mailprogramma
Voor de mail gebruik ik Thunderbird. Bij de instellingen dient te worden aangegeven dat de mail versleuteld en ondertekend wordt met een certificaat. Het certificaat heb ik aangevraagd bij [cacert.org][2]. Bij de instellingen van de smtp-server is het van belang om **geen** vinkje te zetten bij Gebruikersnaam/wachtwoord. Staat dat vinkje er wel, dan gaat het inloggen niet goed.
[1]: http://www.hetlab.tk/obelix/inloggen-met-certificaten
[2]: http://www.cacert.org