doc:appunti:linux:sa:letsencrypt
Differences
This shows you the differences between two versions of the page.
Both sides previous revisionPrevious revisionNext revision | Previous revisionNext revisionBoth sides next revision | ||
doc:appunti:linux:sa:letsencrypt [2022/02/15 09:39] – [Rimozione di un nome di dominio dai Subject Alternative Names] niccolo | doc:appunti:linux:sa:letsencrypt [2022/03/31 09:13] – [Utilizzo dei certificati con Postfix] niccolo | ||
---|---|---|---|
Line 186: | Line 186: | ||
===== Utilizzo dei certificati con Postfix ===== | ===== Utilizzo dei certificati con Postfix ===== | ||
- | Sembra che con i permessi predefiniti Postfix | + | Con i permessi predefiniti Postfix |
+ | |||
+ | === Certificati TLS come server === | ||
+ | |||
+ | Per offrire TLS ai clienti che si connettono | ||
< | < | ||
Line 193: | Line 197: | ||
</ | </ | ||
- | Se il file certificato viene aggiornato è necessario fare un **reload** del demone. | ||
Conviene verificare il **livello di crittografia** offerto dal server e **disabilitare tutti i sistemi deboli o difettosi**. Esistono diversi servizi on-line che consentono di fare il check, ad esempio [[https:// | Conviene verificare il **livello di crittografia** offerto dal server e **disabilitare tutti i sistemi deboli o difettosi**. Esistono diversi servizi on-line che consentono di fare il check, ad esempio [[https:// | ||
Line 211: | Line 214: | ||
smtpd_tls_exclude_ciphers = aNULL, RC4 | smtpd_tls_exclude_ciphers = aNULL, RC4 | ||
</ | </ | ||
+ | |||
+ | === Certificati TLS come client === | ||
+ | |||
+ | Per utilizzare TLS quando si effettua il relay ad altri server è necessario mettere quanto segue in **''/ | ||
+ | |||
+ | < | ||
+ | # Use TLS as a client, when the relaying server supports it. | ||
+ | smtp_tls_security_level = may | ||
+ | smtp_tls_cert_file = / | ||
+ | smtp_tls_key_file = / | ||
+ | </ | ||
+ | |||
+ | Se si preferisce attivare TLS **solo verso alcuni host** è possibile usare la direttiva **smtp_tls_policy_maps** in questo modo: | ||
+ | |||
+ | < | ||
+ | # Use TLS as a client, only for some relay hosts. | ||
+ | smtp_tls_security_level = none | ||
+ | smtp_tls_cert_file = / | ||
+ | smtp_tls_key_file = / | ||
+ | smtp_tls_policy_maps = hash:/ | ||
+ | </ | ||
+ | |||
+ | Il file **/ | ||
+ | |||
+ | < | ||
+ | gmail.com | ||
+ | rigacci.org | ||
+ | </ | ||
+ | |||
+ | Lato ricevente si può verificare che il trasporto sia avvenuto utilizzando crittografia TLS; negli header del messaggio deve risultare **ESMTPS** invece di **ESMTP**: | ||
+ | |||
+ | < | ||
+ | Received: from mail.mydomain.org (mail.mydomain.org [68.129.233.182]) | ||
+ | by mail.rigacci.org (Postfix) with ESMTPS id 875378008E | ||
+ | for < | ||
+ | </ | ||
+ | |||
+ | |||
===== Verifica del certificato SMTP con STARTTLS ===== | ===== Verifica del certificato SMTP con STARTTLS ===== | ||
doc/appunti/linux/sa/letsencrypt.txt · Last modified: 2022/04/01 07:41 by niccolo