Postfix SMTP Server - Installatie certificaat
Na uitgifte ontvang je het certificaat per e-mail. Je kunt het certificaat ook downloaden in het Control Panel.
Het certificaatbestand heeft dezelfde naam als de domeinnaam waarvoor het is aangevraagd, bijvoorbeeld www_sslcertificaten_nl.crt,
Om Postfix van het nieuwe SSL certificaat gebruik te laten maken zijn er aanpassingen nodig in het postfix main.cf configuratie bestand. Moderne versies van Postfix kunnen zowel gebruik maken van een reguliere configuratie met een RSA key, of een meer moderne setup met dubbele keys (RSA + ECC).
Optie 1: RSA certificaat
smtpd_use_tls = yes smtpd_tls_key_file = /etc/postfix/mail.key.pem # de private key smtpd_tls_cert_file = /etc/postfix/mail.crt.pem # het certificaat smtpd_tls_CAfile = /etc/postfix/ca.crt.pem # Bundel met de root en intermediate CA certificaten
Optie 2: RSA en ECC certificaten voor SMTP submission
Als je een ECC certificaat hebt, naast de RSA versie, dan kun je deze beide configureren in Postfix voor smtpd.
smtpd_use_tls = yes # DH-Parameter smtpd_tls_dh1024_param_file = /etc/postfix/dh_4096.pem # TLS RSA keys path incoming SMTP smtpd_tls_cert_file = /etc/postfix/mail.rsa.crt smtpd_tls_key_file = /etc/postfix/mail.rsa.key # TLS ECDSA keys path incoming SMTP smtpd_tls_eccert_file = /etc/postfix/mail.ecc.crt smtpd_tls_eckey_file = /etc/postfix/mail.ecc.key
Configureer het certificaat ook voor SMTP transport
Naast de instellingen hierboven voor smtpd, kan het certificaat ook worden ingesteld voor smtp:
smtp_tls_key_file = /etc/postfix/mail.rsa.key smtp_tls_cert_file = /etc/postfix/mail.rsa.crt smtp_tls_CAfile = /etc/postfix/mail.rsa.bundle.crt
Instellen TLS opties
Voor TLS zijn verschillende instellingen mogelijk, zoals ciphers en protocollen.
smtpd_tls_security_level = may # Gebruik STARTTLS, maar maak het niet verplicht. smtpd_tls_mandatory_ciphers = high # Gebruik moderne ciphersuites smtpd_tls_mandatory_exclude_ciphers = aNULL, eNULL, MD5,EXPORT,DES,RC4 # Sluit oude en onveilige ciphers uit smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3 # Gebruik geen SSLv2 en SSLv3.
Instellen logging opties
Voor meer inzicht of debugging kun je specifiek voor TLS de logging opties aanpassen.
smtp_tls_loglevel = 1 smtpd_tls_loglevel = 1
Alle stappen voor de installatie van het certificaat zijn voltooid. Zorg dat de certificaatbestanden goed zijn beveiligd, en bewaar een backup van de private key en het certificaat op een veilige plek. Installeer ook de root en intermediate certificaten. Controleer met de SSLCheck of het certificaat juist is geinstalleerd en zorg voor een optimale configuratie van het SSL certificaat met deze tips en instellingen.
Aarzel niet om contact met ons op te nemen bij problemen of foutmeldingen, wij helpen je graag!
Hulp nodig?
Bel ons op +31 88 775 775 0
SSLCheck
De SSLCheck controleert of je certificaat goed op je server is geïnstalleerd en of er mogelijke problemen zijn.