Cómo generar certificados SSL autofirmados personalizados y cómo aplicarlos a Postfix

Created:

2016-11-16 13:14:04 UTC

Modified:

2017-05-25 18:45:25 UTC

8

Was this article helpful?


Have more questions?

Enviar una solicitud

Cómo generar certificados SSL autofirmados personalizados y cómo aplicarlos a Postfix

Consulta

Necesito cambiar los certificados SSL predeterminados de Plesk en el servicio de correo Postfix. ¿Cómo puedo conseguirlo?

Resolución

Realice los pasos detallados a continuación.

  1. Cree una clave privada raíz:

    openssl genrsa -out rootCA.key 2048
  2. Modifique los permisos de esta clave privada a 400:

    chmod 400 /usr/share/ssl/certs/postfix/rootCA.key
  3. Cree el certificado autofirmado raíz:

    openssl req -x509 -new -nodes -key rootCA.key -days 1024 -out rootCA.pem

    Este debe incluir los siguientes datos (realice los cambios pertinentes):

    Country Name (2 letter code) [AU]:XX
    State or Province Name (full name) [Some-State]:SomeState
    Locality Name (eg, city) []:SomeCity
    Organization Name (eg, company) [Internet Widgits Pty Ltd]:Company Co
    Organizational Unit Name (eg, section) []:Company Co
    Common Name (e.g. server FQDN or YOUR name) []:domain.tld
    Email Address []:admin@domain.tld
  4. Cree la clave privada para el certificado final:

    openssl genrsa -out device.key 2048
  5. Cree la petición de firma del certificado:

    openssl req -new -key device.key -out device.csr
  6. Finalmente, cree el certificado de servidor basándose en el certificado CA y en la clave privada raíz:

    openssl x509 -req -in device.csr -CA root.pem -CAkey root.key -CAcreateserial -out device.crt -days 500
  7. Modifique la configuración de Postfix /etc/postfix/main.cf para utilizar los certificados que acaba de crear:

    #smtpd_tls_key_file = /etc/postfix/postfix_default.pem
    #smtpd_tls_cert_file = /etc/postfix/postfix_default.pem
    #smtpd_tls_CAfile = /etc/postfix/postfix_default.pem
    smtpd_tls_key_file = /usr/share/ssl/certs/postfix/device.key
    smtpd_tls_cert_file = /usr/share/ssl/certs/postfix/device.crt
    smtpd_tls_CAfile = /usr/share/ssl/certs/postfix/rootCA.pem
  8. Reinicie el servicio Postfix:

    [root@centos ~]# service postfix restart
    Shutting down postfix: [  OK  ]
    Starting postfix: [  OK  ]

Todos los archivos nuevos generados deberían crearse en la carpeta /usr/share/ssl/certs/postfix/ . Si así lo desea, puede modificar la carpeta, pero tenga en cuenta que en este caso también deberá modificar las rutas en la configuración de Postfix.

Una vez realizadas estas acciones, Postfix operará con los nuevos certificados. Puede comprobarlo ejecutando el siguiente comando:

    [root@centos ~]# openssl s_client -crlf -connect localhost:465
CONNECTED(00000003)
depth=0 C = US, ST = SomeState, L = SomeCity, O = Company Co, OU = Company Co, CN = domain.tld, emailAddress = admin@domain.tld
verify error:num=18:self signed certificate
verify return:1
depth=0 C = US, ST = SomeState, L = SomeCity, O = Company Co, OU = Company Co, CN = domain.tld, emailAddress = admin@domain.tld
verify return:1
---
Certificate chain
0 s:/C=PK/ST=SomeState/L=SomeCity/O=Company Co/OU=Company Co/CN=domain.tld/emailAddress=admin@domain.tld
i:/C=PK/ST=SomeState/L=SomeCity/O=Company Co/OU=Company Co/CN=domain.tld/emailAddress=admin@domain.tld
---
¿Tiene más preguntas? Enviar una solicitud
Inicie sesión para dejar un comentario.