У меня есть сертификат Thawte Wildcard SSL-Cert для *.my.example.com.
Теперь я хотел бы использовать его для своего почтового сервера (имя хоста: test.my.example.com).
Я редактировал /etc/postfix/postfix_default.pem и включил ключ, сертификат и ca в этот файл.
К сожалению, SSL-проверки не проходят с ошибкой
Неизвестный авторитет
или
Cert NOT VALIDATED: невозможно получить сертификат местного эмитента
Что мне нужно изменить в моей конфигурации?
У Postfix отличная документация. По вашей теме: http://www.postfix.org/TLS_README.html
В частности, у вас есть проблема, потому что Postfix не может найти полную цепочку доверия сертификатов до доверенного центра сертификации. Вы должны предоставить этой цепочке сертификат конечного сервера.
Это означает, что вы должны включить все промежуточные ЦС в пакет сертификатов, который вы предоставляете Postfix, причем сначала сертификат конечного сервера, а затем все ЦС снизу вверх:
cat server_cert.pem intermediate_CA.pem > server.pem
Мы внедрили ключ в собственный файл, поэтому моя конфигурация выглядит так (в main.cf):
smtpd_tls_cert_file = /path/to/server.pem
smtpd_tls_key_file = /path/to/server.key
Конечно, ключевой файл должен быть защищен, доступен только для чтения root (Postfix запускается как root, читает его, а затем отбрасывает привилегии). Вы можете включить цепочку сертификатов и ключ в один файл, а затем указать один и тот же файл в обоих параметрах.
Это только конфигурация "smtp server" (smtpd). У Postfix также есть smtp-клиент (который используется, когда он подключается к другому серверу для передачи туда почты). Также требуется собственная настройка, возможно, вам придется использовать другой сертификат. Сертификат сервера должен иметь назначение «ssl server», тогда как сертификат клиента smtp будет иметь цель «ssl client». См. Подробную информацию на странице руководства, на которую я указал.