Informática Numaboa - Linux
Debian + Postfix + PostfixAdmin + SquirrelMail
|
Sab 16 Mai 2009 01:19 |
- Detalhes
- Categoria: Como fazer instalações
- Atualização: Quinta, 28 Janeiro 2010 21:08
- Autor: vovó Vicki
- Acessos: 58749
- Debian + Postfix + PostfixAdmin + SquirrelMail
- A lista de fontes
- Iptables e logcheck
- MySQL, Postfix e Dovecot
- Certificados SSL (Autoridade)
- Certificados SSL (Requisições)
- phpMyAdmin
- SquirrelMail e PostfixAdmin
- SquirrelMail e PostfixAdmin II
- SquirrelMail e PostfixAdmin III
- Configurar SASL e TLS
- Amavis e SpamAssassin
- Amavis, SpamAssassin, ClamAV, Razor, Pyzor
- Amavis
- Amavis II
- Tabelas Bayes e AWL
- Personalizar o SquirrelMail
- Razor, pflogsumm e BIND
- Configurações Postfix adicionais
- Férias no PostfixAdmin
- Quotas, MailGraph e mysql-zrm
- O problema dos Aliases
- Todas as Páginas
Criar e Instalar Certificados SSL
Qualquer cliente que se conectar ao nosso servidor precisa ser capaz de resolver o nome de host do servidor. Adicione uma entrada no seu arquivo /etc/hosts ou um registro A no seu servidor DNS para que possamos interagir adequadamente com o servidor. É claro que, uma hora qualquer, também será preciso criar um ou mais registros MX.
Nós vamos ser nossa própria Autoridade Certificadora (CA) e assinar (autenticar) nossos próprios certificados. Para fazer isto, os comandos dependem do /etc/ssl/openssl.cnf fornecido pelo Debian. Vamos começar fazendo uma pequena modificação neste arquivo de configuração para que, por default, nossos certificados tenham validade de 10 anos ao invés de apenas 1 ano:
sed -i 's/= 365\t/= 3653\t/' /etc/ssl/openssl.cnf grep 365 /etc/ssl/openssl.cnf
Agora vamos criar um lugar comum para colocar todos os nossos certificados:
cd /root mkdir CA cd CA mkdir demoCA cd demoCA mkdir newcerts mkdir private echo '01' > serial touch index.txt cd ..
Sabendo onde colocá-lo, vamos criar um Certificado raiz:
openssl req -new -x509 -extensions v3_ca -keyout demoCA/private/cakey.pem -out cacert.pem -days 3653
Quando solicitado, entre com uma frase-senha (passphrase). Você vai precisar desta frase-senha logo mais, portanto, crie uma frase senha única e nunca a perca. Responda as perguntas que forem sendo feitas. Não se esqueça de escrever o nome do estado por extenso e de criar um nome comum (Common Name) que descreva a sua autoridade:
Country Name BR State or Province Name Parana Locality Name Curitiba Organisation Name Minha Empresa Ltda Organisational Unit Name Servidor WebMail Common Name (eg, YOUR name) Minha Empresa Ltda - Autoridade Certificadora Email Address postmaster@exemplo.com
Este processo produz dois arquivos: uma chave privada em demoCA/private/cakey.pem e um certificado raiz CA em cacert.pem. Todo e qualquer arquivo com chave que criarmos precisa ser protegido contra acessos não autorizados e não pode ser perdido nos próximos 10 anos. A CA que acabamos de criar pode assinar quantos certificados quisermos (até que perca sua validade depois de 10 anos). Vamos copiar este certificado e sua chave para arquivos com nomes mais descritivos:
cp -i demoCA/private/cakey.pem demoCA/private/cakey.exemplo.com.pem chmod 600 demoCA/private/* cp -i cacert.pem cacert.exemplo.com.pem cp -i cacert.pem cacert.exemplo.com.crt
Agora copiamos o certificado CA raiz para /usr/share/ca-certificates/self:
mkdir /usr/share/ca-certificates/self cp -i cacert.exemplo.com.crt /usr/share/ca-certificates/self/
O passo seguinte é rodar dpkg-reconfigure ca-certificates, responder yes para "Trust new certificates from certificate authorities?", descer até encontrar self/cacert.exemplo.com.crt, usar a barra de espaço para selecioná-la, Tab até Ok e digitar Enter para terminar o trabalho. Isto vai criar um sym-link para o nosso certificado CA em /etc/ssl/certs:
dpkg-reconfigure ca-certificates
O cacert.exemplo.com.pem e o cacert.exemplo.com.crt são cópias do nosso certificado e são os arquivos que podem ser distribuídos e instalados nas máquinas clientes. Clientes Windows devem usar o arquivo .crt.
Num sistema Windows 2000, dê um duplo clique no arquivo para instalá-lo no Internet Explorer (exatamente o que queremos). Em outras versões do Windows, abra o Internet Explorer e escolha Ferramentas -> Opções da Internet -> Conteúdo -> Certificados -> Autoridades de certificação raiz confiáveis -> Importar. O Outlook e o Outlook Express usam a mesma loja de certificados que o Internet Explorer.
No Mozilla Thunderbird o caminho é Ferramentas -> Opções -> Privacidade -> Securança -> Ver Certificados -> Autoridades -> Importar. No Firefox é Ferramentas -> Opções -> Avançadas -> Criptografia -> Ver Certificados -> Autoridades -> Importar.
Se você repetir este processo mais de uma vez na fase de testes, não instale certificados duplicados. Delete o certificado antigo antes de instalar um novo que o substitua. Sugiro usar o WinSCP para transferir o certificado cacert.exemplo.com.crt para a sua máquina.
Acho que a pior parte desta instalação é instalar os certificados CA em todos os clientes. Algumas vezes vale a pena comprar um certificado comercial de uma CA conhecida que já esteja na loja das Autoridades de certificação raiz confiáveis.