TLS usluga

boby · December 5, 2010, 11:15pm

Dakle trebam za kolokvij odraditi neke servise na centos-u 5.5. E sad imao sam malo brzi kurs o mail serveru i nisam bas pohvatao sve sto se tice TLS-a. Dakle znam sta je, cemu sluzi i kako radi. Medjutim ne znam kako napraviti potrebne kljuceve (privatni i javni) i gdje ih sve trebam kopirati. Za mail server koristim postfix a za dns koristim marandns. Dakle u postfix-ovom konf. fajlu main.cf trebam unjeti neke podatke, tipa gdje je javni a gdje privatni kljuc i slicno. Nasao sam upustvo za TLS ali je ogromno a meni treba samo dio toga. Pa ako neko moze da mi uratko objasni sta mi sve treba i kako da to uradim.

Amar · December 5, 2010, 11:42pm

Prvo moras instalirati openssl i postfix-tls, recimo na Debianu:

Onda trebas napraviti CA:

cd /etc/postfix/ssl/ /usr/lib/ssl/misc/CA.pl -newca
Onda trebas izgenerisati keys:

openssl req -new -nodes -keyout server-key.pem -out server-req.pem -days 365 openssl ca -out server-crt.pem -infiles server-req.pem chmod 644 server-crt.pem demoCA/cacert.pem chmod 400 server-key.pem
Onda ovo ubaci u /etc/postfix/main.cf

# tls config smtpd_use_tls = yes smtp_tls_note_starttls_offer = yes smtpd_tls_key_file = /etc/postfix/ssl/smtpd.pem smtpd_tls_cert_file = /etc/postfix/ssl/smtpd.pem smtpd_tls_CAfile = /etc/postfix/ssl/smtpd.pem smtpd_tls_loglevel = 1 smtpd_tls_received_header = yes smtpd_tls_session_cache_timeout = 3600s tls_random_source = dev:/dev/urandom tls_random_prng_update_period = 3600s
I jos resetujes postfix i gotovo.

boby · December 6, 2010, 12:37am

[quote=Amar]Onda trebas napraviti CA:

cd /etc/postfix/ssl/ /usr/lib/ssl/misc/CA.pl -newca
[/quote]
folderi /etc/postfix/ssl/ i /usr/lib/ssl/ ne postoje. Mozda je to drugacije na centosu ali ima ovaj folder: /etc/pki i u njemu podfolderi CA, dovecot, nssdb, rpm-gpg, tls

Unutar tls-a je: cert.pem, certs, misc, openssl.cnf, private

Ne znam da li ovo moze pomoci. jer ovo openssl req -new -nodes -keyout server-key.pem -out server-req.pem -days 365
prodje ali ne prolazi ovo drugo openssl ca -out server-crt.pem -infiles server-req.pem zali se: Error opening CA private key …/…/CA/private/cakey.pem

Dakle ne mogu napraviti CA

Bo · December 6, 2010, 9:00am

Ma mozes…

Amar · December 6, 2010, 10:40am

[quote=boby]folderi /etc/postfix/ssl/ i /usr/lib/ssl/ ne postoje. Mozda je to drugacije na centosu ali ima ovaj folder: /etc/pki i u njemu podfolderi CA, dovecot, nssdb, rpm-gpg, tls

Unutar tls-a je: cert.pem, certs, misc, openssl.cnf, private

Ne znam da li ovo moze pomoci. jer ovo openssl req -new -nodes -keyout server-key.pem -out server-req.pem -days 365
prodje ali ne prolazi ovo drugo openssl ca -out server-crt.pem -infiles server-req.pem zali se: Error opening CA private key …/…/CA/private/cakey.pem

Dakle ne mogu napraviti CA[/quote]
Moras onda malo pogledati po dokumentaciji gdje se u Centosu nalaze ti folderi.

Prvo ti treba CA, mozes ga napraviti prateci ovaj howto:

http://www.topdog.za.net/create_cacert_postfix_certificate

Onda probaj ovo:

yum install crypto-utils genkey --days 365 mail.example.com
To bi ti trebalo generisati private i public key u:

/etc/pki/tls/certs/mail.example.com.cert # public cert /etc/pki/tls/private/mail.example.com.key # private key
Onda naravno /etc/postfix/main.cf izgleda ovako:

[code]smtpd_tls_security_level = may
smtpd_tls_key_file = /etc/pki/tls/private/mail.example.com.key
smtpd_tls_cert_file = /etc/pki/tls/certs/mail.example.com.cert

smtpd_tls_CAfile = /etc/pki/tls/root.crt

smtpd_tls_loglevel = 1
smtpd_tls_session_cache_timeout = 3600s
smtpd_tls_session_cache_database = btree:/var/spool/postfix/smtpd_tls_cache
tls_random_source = dev:/dev/urandom
smtpd_tls_auth_only = yes[/code]
Resetuj postfix.

Nisam ja nesto pretjerano dobar sa Centos-om (ili bilo kojom drugom Redhat baziranom distribucijom) tako da ne znam da li ce ovo fercerati. Malo googleaj, sigurno ima negdje howto.

boby · December 6, 2010, 9:20pm

OK. Prosao sam to. Ali imam novi problem. Moram takodje da koristim DKIM milter i kad ga pokusam pokrenuti dobijem:
Starting DKIM milter (dkim-filter #0) /bin/bash: domain_name: No such file or directory

u main.cf imam zapis:

smtpd_milters = inet:localhost:20209
non_smtpd_milters = inet:localhost:20209

A milter sam stimao prema http://www.howtoforge.com/set-up-dkim-on-postfix-with-dkim-milter-centos-5.2

Izvinjavam se ako smaram, ali sutra mi je kolokvijum.

Amar · December 6, 2010, 9:33pm

Ima li kakva poruka u /var/log/syslog ili u /var/log/messages ?

Jesi googleao ovaj problem?

Hajd postaj ovdje dkim-milter startup skriptu, nisam siguran da ti puno mogu pomoci, ali meni izgleda kao da nije ucitao localhost variablu.

boby · December 6, 2010, 10:17pm

E skonto sam sta je ali ne mogu rijesiti. Da googlao sam ali bezuspjesno. Sad javlja da je greska u:
/etc/mail/dkim-milter/dkim-filter.conf no keys loaded from /etc/mail/dkim-milter/keys/keylist

U fajlu keylist imam:

sender-pattern: singnig-domain:keypath

*: example.com: selector

E dakle u ovom file-u je problem. Trebam ga prilagoditi svojim postavkama. Kako?

Amar · December 6, 2010, 10:34pm

Pa probaj dekomentirati ove dvije linije, ako imas # ispred linije znaci da je linija samo komentar.

boby · December 6, 2010, 10:39pm

Znam probao sam to vec i opet ista greska. Treba nekako popuniti ovaj file ali ne znam kako. Valjda je to problem.

Amar · December 6, 2010, 10:45pm

Nisam nikada konfigurisao TLS sa postfixom tako da ti dalje ne mogu pomoci. Probaj googleati malo, trazi slicne datoteke po mailing listama. Sretno.

boby · December 6, 2010, 10:57pm

OK. Hvala puno za ovo do sad.