doc:appunti:linux:sa:letsencrypt
Differences
This shows you the differences between two versions of the page.
Both sides previous revisionPrevious revisionNext revision | Previous revisionNext revisionBoth sides next revision | ||
doc:appunti:linux:sa:letsencrypt [2021/11/17 10:03] – [Certificato DST Root CA X3 scaduto] niccolo | doc:appunti:linux:sa:letsencrypt [2022/03/31 09:13] – [Utilizzo dei certificati con Postfix] niccolo | ||
---|---|---|---|
Line 76: | Line 76: | ||
===== Rimozione di un nome di dominio dai Subject Alternative Names ===== | ===== Rimozione di un nome di dominio dai Subject Alternative Names ===== | ||
- | Pare che vi sia un bug al momento in cui si cerca di **togliere un nome di dominio** dall' | + | Se si desidera |
+ | |||
+ | C'è tuttavia un inconveniente (ancora con certbot v.0.31): | ||
Vedere in proposito questo **[[https:// | Vedere in proposito questo **[[https:// | ||
Line 184: | Line 186: | ||
===== Utilizzo dei certificati con Postfix ===== | ===== Utilizzo dei certificati con Postfix ===== | ||
- | Sembra che con i permessi predefiniti Postfix | + | Con i permessi predefiniti Postfix |
+ | |||
+ | === Certificati TLS come server === | ||
+ | |||
+ | Per offrire TLS ai clienti che si connettono | ||
< | < | ||
Line 191: | Line 197: | ||
</ | </ | ||
- | Se il file certificato viene aggiornato è necessario fare un **reload** del demone. | ||
Conviene verificare il **livello di crittografia** offerto dal server e **disabilitare tutti i sistemi deboli o difettosi**. Esistono diversi servizi on-line che consentono di fare il check, ad esempio [[https:// | Conviene verificare il **livello di crittografia** offerto dal server e **disabilitare tutti i sistemi deboli o difettosi**. Esistono diversi servizi on-line che consentono di fare il check, ad esempio [[https:// | ||
Line 209: | Line 214: | ||
smtpd_tls_exclude_ciphers = aNULL, RC4 | smtpd_tls_exclude_ciphers = aNULL, RC4 | ||
</ | </ | ||
+ | |||
+ | === Certificati TLS come client === | ||
+ | |||
+ | Per utilizzare TLS quando si effettua il relay ad altri server è necessario mettere quanto segue in **''/ | ||
+ | |||
+ | < | ||
+ | # Use TLS as a client, when the relaying server supports it. | ||
+ | smtp_tls_security_level = may | ||
+ | smtp_tls_cert_file = / | ||
+ | smtp_tls_key_file = / | ||
+ | </ | ||
+ | |||
+ | Se si preferisce attivare TLS **solo verso alcuni host** è possibile usare la direttiva **smtp_tls_policy_maps** in questo modo: | ||
+ | |||
+ | < | ||
+ | # Use TLS as a client, only for some relay hosts. | ||
+ | smtp_tls_security_level = none | ||
+ | smtp_tls_cert_file = / | ||
+ | smtp_tls_key_file = / | ||
+ | smtp_tls_policy_maps = hash:/ | ||
+ | </ | ||
+ | |||
+ | Il file **/ | ||
+ | |||
+ | < | ||
+ | gmail.com | ||
+ | rigacci.org | ||
+ | </ | ||
+ | |||
+ | Lato ricevente si può verificare che il trasporto sia avvenuto utilizzando crittografia TLS; negli header del messaggio deve risultare **ESMTPS** invece di **ESMTP**: | ||
+ | |||
+ | < | ||
+ | Received: from mail.mydomain.org (mail.mydomain.org [68.129.233.182]) | ||
+ | by mail.rigacci.org (Postfix) with ESMTPS id 875378008E | ||
+ | for < | ||
+ | </ | ||
+ | |||
+ | |||
===== Verifica del certificato SMTP con STARTTLS ===== | ===== Verifica del certificato SMTP con STARTTLS ===== | ||
Line 292: | Line 335: | ||
</ | </ | ||
- | Sul **client** invece si verifica l' | + | Sul **client** invece si verifica l' |
< | < | ||
Line 305: | Line 348: | ||
</ | </ | ||
- | Su una **Debian 9** invece: | + | Su una **Debian 9** invece |
< | < |
doc/appunti/linux/sa/letsencrypt.txt · Last modified: 2022/04/01 07:41 by niccolo