Postfix 在特定端口上接受邮件

Question

m27

Asked: 2024-03-22 06:14:42 +0800 CST2024-03-22 06:14:42 +0800 CST 2024-03-22 06:14:42 +0800 CST

如何为我的邮件服务器正确颁发 Let's Encrypt 证书？

772

如何为我的 Postfix 邮件服务器正确颁发 Let's Encrypt 证书？现在我有一个自签名证书，我收到这些消息，它不可信。

我做了 certbot --nginx certonly -d mail.example.org ，显然它是自签名的。

3 个回答

Voted

tsc_chazz · Answer 1 · 2024-03-22T06:42:21+08:00

Best Answer

tsc_chazz

2024-03-22T06:42:21+08:002024-03-22T06:42:21+08:00

Dan 是正确的 - 该--certonly选项告诉 certbot 获取证书但不对其执行任何操作。该脚本将告诉您该证书现在的位置，很可能/etc/letsencrypt/live/mail.example.org是名为cert.pem、chain.pem、fullchain.pem和的文件privkey.pem。您将进入 Postfix 的配置，并更改证书路径以指向这些文件。当然，完成此操作后，您将重新启动 Postfix。

2

Dan · Answer 2 · 2024-03-22T06:25:35+08:00

Dan

2024-03-22T06:25:35+08:002024-03-22T06:25:35+08:00

如果我没记错的话，我相信您可以运行 Certbot 来自行获取 SSL 证书，而无需配置 Apache 虚拟主机文件。然后，您将 Postfix SSL 配置指向 Certbot 保存证书文件的目录。

0

Esa Jokinen · Answer 3 · 2024-03-23T14:29:14+08:00

Let's Encrypt从 Certbot 2.0 开始默认颁发 ECC 证书。一些发送邮件系统尚不支持这些，而仅支持 RSA 证书。因此，要正确为 Postfix 邮件服务器颁发证书，您需要两组证书+密钥文件：

smtpd_tls_chain_files =
    /etc/letsencrypt/live/mail.example.com-ecdsa/privkey.pem,
    /etc/letsencrypt/live/mail.example.com-ecdsa/fullchain.pem,
    /etc/letsencrypt/live/mail.example.com-rsa/privkey.pem,
    /etc/letsencrypt/live/mail.example.com-rsa/fullchain.pem

您可以通过注释掉key-type它们/etc/letsencrypt/cli.ini，然后使用--key-type命令行中的选项颁发证书来获取它们。这部分至关重要，因为中的设置cli.ini将覆盖中的设置/etc/letsencrypt/renewal/*.conf，这将在下次自动续订时破坏内容。例如，

sudo certbot certonly \
  --cert-name mail.example.com-ecdsa \
  -d mail.example.com \
  --key-type ecdsa

sudo certbot certonly \
  --cert-name mail.example.com-rsa \
  -d mail.example.com \
  --key-type rsa

更详细的答案：https://serverfault.com/a/1151326/274176

如何为我的邮件服务器正确颁发 Let's Encrypt 证书？

新安装后 postgres 的默认超级用户用户名/密码是什么？

SFTP 使用什么端口？

命令行列出 Windows Active Directory 组中的用户？

什么是 Pem 文件，它与其他 OpenSSL 生成的密钥文件格式有何不同？

如何确定bash变量是否为空？

如何为我的邮件服务器正确颁发 Let's Encrypt 证书？

3 个回答

相关问题