Controle certificaten

Nu het inloggen met een certificaat om mail te versturen werkt is de volgende stap het aanzetten van de controle van de certifcaten. Grofweg zijn er twee mogelijkheden:

Eigenlijk zijn er dus twee manieren om een certificaat te controleren:

  • via Postfix
  • via de imap-ssl module van Courier

Via Postfix

Een manier om aan te geven welke certificaten mail mogen versturen is in de main.cf van Postfix het toevoegen van de regel:

relay_clientcerts = hash:/etc/postfix/relay_clientcerts

In het bewuste bestand komt dan de md5-fingerprint.

Via Courier

Voor Courier gebruik ik de imap-ssl module, in het bestand /etc/courier/imap-ssl heb ik opgenomen:

TLS_TRUSTCERTS=/etc/ssl/certs/
TLS_VERIFYPEER=PEER

De eerste regel spreekt voor zich, alle certificaten die zich in die directory bevinden worden geaccepteerd. De tweede regel geeft aan dat als een certificaat wordt aangeboden, deze ook gecontroleerd dient te worden. Als er geen certificaat is, dient een gebruikersnaam en wachtwoord opgegeven te worden. Aan andere mogelijke waarde is REQUIREPEER, daarmee wordt aangegeven dat een certificaat verplicht is.

Beide methodes werken en geven allebei het gewenste resultaat, de een is niet beter of slechter dan de ander. Mijn persoonlijke voorkeur gaat uit om het via Postfix te doen.