Início / server / Perguntas / 1151325
Accepted
Esa Jokinen
Asked: 2024-01-12 01:15:52 +0800 CST

Como obter certificados ECC e RSA do Let's Encrypt for Postfix?

  • 772

Let's Encrypt começou a emitir certificados ECC por padrão desde o Certbot 2.0 . Isso não é um problema para navegadores modernos, mas os certificados Let's Encrypt também podem ser usados ​​para outros fins além de HTTPS. Ou seja, alguns servidores SMTP ainda não suportam certificados ECC. Se esse servidor tentar estabelecer STARTTLSconexão com o Postfix que usa certificados ECC, ele falhará.

Os logs indicam que não há cifra compartilhada, apesar de, por exemplo, o Wireshark mostrar que o Client Hello no handshake TLS possui claramente cifras comuns com a lista configurada via smtpd_tls_mandatory_ciphers = medium.

postfix/smtpd[1337]: connect from mail.example.net[198.51.100.1]
postfix/smtpd[1337]: SSL_accept error from mail.example.net[198.51.100.1]: -1
postfix/smtpd[1337]: warning: TLS library problem: error:0A0000C1:SSL routines::no shared cipher:../ssl/statem/statem_srvr.c:2220:
postfix/smtpd[1337]: lost connection after STARTTLS from mail.example.net[198.51.100.1]
postfix/smtpd[1337]: disconnect from mail.example.net[198.51.100.1] ehlo=1 starttls=0/1 commands=1/2

O problema é causado pelo tipo de certificado. É possível obter certificados ECC e RSA do Let's Encrypt usando Certbot? Como configurar o Postfix para usar os dois ao mesmo tempo?

ssl

1 respostas

  1. Best Answer

    Certificado RSA adicional da Let's Encrypt (Certbot)

    Existem algumas respostas com soluções que requerem scripts personalizados. Esta solução depende inteiramente da configuração do Certbot. As seguintes suposições são feitas. Se isso for diferente em sua configuração, altere as instruções de acordo com suas necessidades.

    • Existe um certificado ECC configurado para mail.example.comusá-lo como nome do certificado ( --cert-name); renovação configurada em /etc/letsencrypt/renewal/mail.example.com.confetc.

    • Os padrões do Certbot são configurados por meio do arquivo de configuração /etc/letsencrypt/cli.ini . Este exemplo usa certificados ECC com uma secp384r1curva mais forte (default secp256r1) e tamanho de chave RSA aumentado 4096(default 2048), bem como um autenticador pré-configurado :

      # Because we are using logrotate for greater flexibility, disable the
# internal certbot logrotation.
max-log-backups = 0

# Use ECC for the private key
key-type = ecdsa
elliptic-curve = secp384r1

# Use a 4096 bit RSA key instead of 2048
rsa-key-size = 4096

# Use webroot authenticator; common webroot for all sites
authenticator = webroot
webroot-path = /var/www/letsencrypt

    Você pode replicar o cli.iniarquivo com o tipo de chave RSA usando:

    sed -E 's/key-type.?=.?ecdsa/key-type = rsa/' /etc/letsencrypt/cli.ini \
  | sed 's/^# Use ECC/# Use RSA/' \
  | sudo tee /etc/letsencrypt/cli-rsa.ini

    A configuração principal é key-type = rsa. O arquivo é replicado para que isso não altere a configuração padrão de todos os novos certificados. Neste exemplo, o comando cria cli-rsa.initendo:

    # Because we are using logrotate for greater flexibility, disable the
# internal certbot logrotation.
max-log-backups = 0

# Use RSA for the private key
key-type = rsa
elliptic-curve = secp384r1

# Use a 4096 bit RSA key instead of 2048
rsa-key-size = 4096

# Use webroot authenticator; common webroot for all sites
authenticator = webroot
webroot-path = /var/www/letsencrypt

    Você pode usar o arquivo de configuração para solicitar outro certificado para o arquivo mail.example.com. Deve --cert-nameser diferente do certificado ECC, pois estamos solicitando um certificado RSA adicional em vez de substituir o atual. Por exemplo,

    sudo certbot certonly \
  --cert-name mail.example.com-rsa \
  -d mail.example.com \
  -c /etc/letsencrypt/cli-rsa.ini

    Se o seu método de renovação estiver configurado corretamente, você deverá obter:

    Requesting a certificate for mail.example.com

Successfully received certificate.
Certificate is saved at: /etc/letsencrypt/live/mail.example.com-rsa/fullchain.pem
Key is saved at:         /etc/letsencrypt/live/mail.example.com-rsa/privkey.pem

    Você precisará desses caminhos na configuração do Postfix.

    Vários certificados no Postfix

    Com o suporte Postfix TLS você pode configurar vários certificados ao mesmo tempo. Desde o Postfix 3.4 é recomendado usar o smtpd_tls_chain_filesparâmetro (em vez do legado smtpd_tls_cert_file& smtpd_tls_key_filepara RSA & smtpd_tls_eccert_file& smtpd_tls_eckey_filepara ECDSA).

    Vale a pena notar que:

    Você também pode armazenar as chaves separadamente de seus certificados, novamente desde que cada uma esteja listada antes da cadeia de certificados correspondente. Não é recomendado armazenar uma chave e sua cadeia de certificados associada em arquivos separados, pois isso é propenso a condições de corrida durante a substituição de chave, pois não há como atualizar vários arquivos atomicamente.

    No entanto,

    • Certbot armazena a chave e a cadeia em arquivos separados.
    • Você pode configurar --deploy-hookum script que seja executado systemctl reload postfixem uma renovação bem-sucedida.

    Exemplo de configuração para o main.cf; preste atenção na ordem correta: cada chave privada antes de cada cadeia de certificados:

    smtpd_tls_chain_files =
    /etc/letsencrypt/live/mail.example.com/privkey.pem,
    /etc/letsencrypt/live/mail.example.com/fullchain.pem,
    /etc/letsencrypt/live/mail.example.com-rsa/privkey.pem,
    /etc/letsencrypt/live/mail.example.com-rsa/fullchain.pem
    • 0

relate perguntas