Я пытаюсь настроить почтовый сервер postfix для использования шифрования TLS для SMTP (и IMAP с dovecot, но я еще не дошел до этого). Он работает на машине Fedora 14, и я использую webmin для управления им.
У меня есть домен Windows с DC, также настроенным как центр сертификации Microsoft, и я создал GP, который добавляет CA в качестве доверенного корневого CA. У меня установлены веб-службы, поэтому я могу перейти на localhost / certsrv и запросить новые сертификаты. В любом случае, я хотел бы использовать Microsoft CA для создания закрытого ключа, открытого ключа и сертификата CA для почтового сервера postfix.
Цель состоит в том, что все пользователи, подключающиеся к серверу с помощью SMTP (а позже IMAP), будут использовать SSL / TLS и будут доверять серверу, потому что они доверяют CA.
Дайте мне знать, если вам понадобится дополнительная информация или какие-либо предложения.
Если ваша предполагаемая цель - иметь проверяемый сертификат на сервере postfix, вы можете предоставить файлы цепочки CA для postfix и импортировать корневой сертификат CA во всех клиентов; это будет следовать по цепочке для всех сертификатов, выданных ЦС.
Цитата из http://www.postfix.org/postconf.5.html#smtpd_tls_cert_file:
Чтобы позволить удаленному SMTP-клиенту проверять сертификат SMTP-сервера Postfix, сертификаты CA должны быть доступны для клиента. Вы должны включить необходимые сертификаты в файл сертификата сервера, сначала сертификат сервера, а затем сертификат (ы) выдачи (восходящий порядок).
Пример: сертификат для server.example.com был выдан «промежуточным ЦС», который сам имеет сертификат «корневого ЦС». Создайте файл server.pem с помощью «cat server_cert.pem intermediate_CA.pem root_CA.pem> server.pem».