Tot nu toe heb ik self-signed certificate gebruikt. Dat werkt op zich prima, maar nadeel daarvan is dat bij het ophalen van bijvoorbeeld mail er elke keer een waarschuwing verschijnt dat het mogelijk onveilig zou zijn. Om dit probleem op te lossen ga ik de gratis certificaten van cacert.org gebruiken.
De stappen zijn als volgt:
- een key aanmaken
De key maken we aan met het commando:
# openssl genrsa -out zomaarroland.key 1024
Voor het maken van de csr geven we de opdracht:
# openssl req -new -key zomaarroland.key -out zomaarroland.csr
Via de website van cacert.org kan een nieuwe certificaat worden aangemaakt. De inhoud van het .csr bestand dient daarvoor te worden geplakt in het formulier op de site. Na ondertekening door cacert.org verschijnt het certificaat op het scherm. Die informatie kan in een nieuw bestand worden geplakt. In mijn voorbeeld noem ik het zomaarroland.crt
Om het certificaat geschikt te maken voor Courier zijn nog twee aanvullende opdrachten nodig:
# cat zomaarroland.key zomaarroland.crt > server.pem # openssl gendh >> server.pem
Nu hoeven we alleen nog het rootcertificaat van cacert.org toe te voegen aan de mailclient om te zorgen dat Thunderbird de cacert.org erkend als ondertekenaar. Als laatste herstarten we de Courier service.
Om het certificaat in Postfix te kunnen gebruiken zijn er nog enkele wijzigingen in main.cf nodig:
smtpd_tls_key_file = /etc/postfix/tls/zomaarroland.key smtpd_tls_cert_file = /etc/postfix/tls/zomaarroland.crt smtpd_tls_CAfile = /etc/postfix/tls/cacert.pem smtpd_use_tls = yes