SMTP Zertifikat austauschen

  • Hallo zusammen,


    ich würde gerne das für den SMTP-Proxy verwendete Zertifikat austauschen. Im Moment antwortet die EFW mit dem selbstgenerieren Zertifikat welches den internen Namensraum verwendet und bspw auch bei https verwendet wird. Im Bereich OpenVPN kann ich ein neues Zertifikat importieren welches dann allerdings nur für diesen Dienst verwendet wird. Kann mir jemand sagen wie ich das Zertifikat austauschen kann sodass der SMTP-Proxy mit dem richtigen Zertifikat antwortet?


    Vielen Dank schonmal +


    Viele Grüße!


    Lownex

  • In meinem Fall störte mich hauptsächlich der Common Name des selbstgenerierten Zertifikats weil der Postfix auf eine SMTP-Verbindung zwar mit einem HELO der öffentlichen Domäne antwortet wie es im SMTP-Proxy konfiguriert ist jedoch das selbstsignierte Zertifikat den Common Name hat welches bei der ersten Einrichtung der Endian gewählt wurde - in meinem Fall war das der interne FQDN. Somit ist es etwas unschön wenn ein Mailserver mit der Endian eine TLS-Verbindung aufbauen möchte und das Zertifikat den falschen Common Name hat.


    1) Login über SSH auf der Endian
    Im Verzeichnis /etc/postfix findet man die main.cf. Dort findet man den Pfad zu den SSL Zertifikaten:


    smtpd_tls_cert_file = /etc/httpd/server.crt
    smtpd_tls_key_file = /etc/httpd/server.key


    Hier ist es so dass dort dieselben Zertifikate verwendet werden welche auch der Webserver verwendet. Ich habe mich dazu entschieden einfach diese Zertifikate zentral auszutauschen sodass der Webserver auch mit dem neuen Zertifikat arbeitet. Alternativ wäre es auch möglich in der main.cf vom Postfix einen neuen Pfad anzugeben um ausschließlich für den Postfix neue Zertifikate zu verwenden. Ich ändere also nichts in der main.cf


    2)
    im Pfad /etc/httpd benennt man die alten Zertifikate um:
    mv Server.key Server.key.bak
    mv Server.crt Server.crt.bak
    mv Server.csr Server.csr.bak


    3)
    Mithilfe von openssl ein neues Zertifikt erstellen. Dabei gibt es verschieden Rückfragen von OpenSSL zum Namen der Firma, OU, Land, Email. Die einzige relevante Information dort ist der Common Name, welcher dem externen FQDN entsprechen sollte, also bspw. mail.domain.de.


    openssl req -new > server.csr
    openssl rsa -in privkey.pem -out server.key
    openssl x509 -in server.csr -out server.crt -req -signkey server.key -days 365


    Meine Empfehlung wäre dort die Gültigkeit etwas höher zu setzen (-days 7200).


    4)
    Anschließend Webserver und Postfix neustarten:


    /etc/init.d/httpd restart
    /etc/init.d/postfix restart


    Ich hoffe das hilft bei Gelegenheit dem einen oder anderen weiter...


    Gruß, Lownex