Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision | ||
centos:mail_c7:mta_5 [04.01.2016 16:27. ] – [TLS-Verbindungen, verschlüsselte Kommunikation für Postfix 2.11 unter CentOS 7] django | centos:mail_c7:mta_5 [28.09.2017 10:07. ] – [Speicherort] django | ||
---|---|---|---|
Zeile 270: | Zeile 270: | ||
openssl dhparam -out dh_1024.pem 1024 | openssl dhparam -out dh_1024.pem 1024 | ||
openssl dhparam -out dh_2048.pem 2048 | openssl dhparam -out dh_2048.pem 2048 | ||
- | chmod 640 dh_512.pem dh_1024.pem dh_2048.pem | + | openssl dhparam -out dh_4096.pem 4096 |
+ | chmod 640 dh_512.pem dh_1024.pem dh_2048.pem dh_4096.pem | ||
/ | / | ||
rm *.pem -f | rm *.pem -f | ||
</ | </ | ||
- | Damit das Script auch ausgeführt | + | Damit das Script auch ausgeführt |
# chmod +x edh_keygen | # chmod +x edh_keygen | ||
<WRAP center round tip> | <WRAP center round tip> | ||
- | Warum das ganze in ein Shellsript packen, wird nun sich der ein oder andere gefragt haben. Ganz einfach: Wenn wir das Script nun nach **/// | + | Warum das ganze in ein Shellsript packen, wird nun sich der ein oder andere gefragt haben. Ganz einfach: Wenn wir das Script nun nach **/// |
</ | </ | ||
- | # mv edh_keygen /etc/cron.hourly/ | + | # mv edh_keygen /etc/cron.daily/ |
+ | |||
+ | Zum Testen welche Schlüssel vom Server verwendet werden, können wir folgenden Befehl verwenden: | ||
+ | $ echo | openssl s_client -starttls smtp -connect smtp.nausch.org: | ||
+ | |||
+ | Als Antwort erhalten wie zwei Zeilen mit Angabe zu den Schlüssellängen. Die erste Zeile beschreibt den temporären Diffie Hellman, die zweite Zeile den RSA-Schlüssel des TLS-Zertifikats. | ||
+ | Server Temp Key: DH, 4096 bits | ||
+ | Server public key is 4096 bit | ||
Zeile 564: | Zeile 572: | ||
| | ||
- | Sichtshalber | + | Sicherheitshalber |
# chmod 400 *.pem | # chmod 400 *.pem | ||
Bei Bedarf kann man mit **openssl rsa -in < | Bei Bedarf kann man mit **openssl rsa -in < | ||
Zeile 1305: | Zeile 1313: | ||
Anschließend legen wir dort die drei benötigten Dateien ab: | Anschließend legen wir dort die drei benötigten Dateien ab: | ||
- | | + | |
- | - unseren // | + | <WRAP center round tip 60%> |
- | - das // | + | Die Dateinamen passen wir natürlich den lokalen Gegebenheiten nach an! |
- | - und schützen diese Dateien mit den Dateirechten **400**: < | + | </ |
- | # chmod 400 /etc/pki/dovecot/ | + | |
+ | |||
+ | | ||
+ | - unseren // | ||
+ | - das // | ||
+ | - und schützen diese Dateien mit den Dateirechten **400**: < | ||
+ | # chmod 400 /etc/pki/postfix/ | ||
Zeile 2492: | Zeile 2507: | ||
# default: smtpd_tls_dh512_param_file = | # default: smtpd_tls_dh512_param_file = | ||
# smtpd_tls_dh1024_param_file = | # smtpd_tls_dh1024_param_file = | ||
- | smtpd_tls_dh1024_param_file = / | + | smtpd_tls_dh1024_param_file = / |
smtpd_tls_dh512_param_file = / | smtpd_tls_dh512_param_file = / | ||
- **" | - **" |