viernes, 25 de abril de 2014

Certificados SSL apropiados para Postfix y Dovecot (Mail Server)

Una de las mejores formas de encriptar los passwords y tu información que circula entre el cliente de correo y el mail server, es estableciendo los certificados ssl apropiados.

Hay varias formas de manejar tus preferencias con los certificados,  una es crear tu certificado, dejarlo como está, usar una autoridad certificadora gratuita ó comprar un certificado

Dejarlo como está:
Los usuarios recibirán advertencias informándoles que el certificado es invalido y no concuerda con el nombre del servidor

* Ventajas:  flojo, no cuesta nada
* Desventajas: Algunos clientes de correo rechazan el certificado por que no concuerda el nombre del servidor
* Conclusión: Sólo has esto si no te importa que suceda con el mail server

Crear un certificado auto firmado :
Los usuarios les dará a tus usuarios un certificado con el nombre apropiado para tu mail server

* Ventajas: "un poco de trabajo", no cuesta
* Desventaja: Estarás entrenando a tus usuarios a que acepten cualquier certificado
* Conclusión: Has esto si tienes un pequeño grupo de usuarios a los cuales les puedas informar acerca el certificado (o configurar personalmente los clientes de correo)

Crear certificados SSL puede ser tan sencillo como aplicar un comando:

Dovecot

Este comando crea el certificado SSL para dovecot (10 años   365X10=3650):

openssl req -new -x509 -days 3650 -nodes -out /etc/ssl/certs/dovecot.pem -keyout /etc/ssl/private/dovecot.pem

No olvides establecer los permisos adecuados para mantener segura de mirones a tu llave privada:

chmod o= /etc/ssl/private/dovecot.pem

Tendrás que reiniciar Dovecot para que el servicio lea el nuevo certificado

/etc/init.d/dovecot restart

Postfix

Para crear un certificado en postfix:

openssl req -new -x509 -days 3650 -nodes -out /etc/ssl/certs/postfix.pem -keyout /etc/ssl/private/postfix.pem

No olvides establecer los permisos adecuados para mantener segura de mirones a tu llave privada:

chmod o= /etc/ssl/private/postfix.pem

Después de esto necesitas indicarle a Postfix en donde encontrar tu certificado y llave privada ya que por default busca un certificado llamado "ssl-certsnakeoil" :

postconf -e smtpd_tls_cert_file=/etc/ssl/certs/postfix.pem
postconf -e smtpd_tls_key_file=/etc/ssl/private/postfix.pem

Usar una autoridad certificadora gratuita :

* Ventajas: Un poco de trabajo, no cuesta
* Desventajas: estos certificados no están incluidos en todos los clientes de correo
* Conclusión: Si no quieres gastar dinero esta es tu mejor elección

Hay gran variedad de servicios gratuitos como este,  uno de ellos es http://www.startssl.com/

Comprar un certificado SSL

* Ventajas:  el certificado será aceptado automáticamente por todos los clientes de correo
* Desventajas: Inviertes bastante dinero en la mafia de los certificados web
* Conclusión: Has esto si te quieres ver profesional en tu servidor de correo  y no quieres tener problemas con usuarios


Depende de tu política de administración del mail server, elegir cual de las anteriores estrategias es la idónea para usar.

2 comentarios:

Zunair zain dijo...

Existen varios tipos de certificados SSL según el método de autentificación que se use.
Verificación de Dominio: Se validará que el dominio para el cual se emitirá el certificado ssl se encuentra registrado por el solicitante. Verificación de Organización: También se verificará que la información emitida para el certificado (nombre, ciudad, provincia, pais) sean datos verdaderos. Verificación Extendida: Además de las anteriores validaciones, se comprobará la existencia legal de la organización y que la misma aprueba la emisión del certificado. Los certificados solo sirven para un único dominio o subdominio, para varios subdominios se deben usar certificados llamados Wildcard.
CERTIFICADOS SSL

Blogger dijo...

BlueHost is ultimately one of the best hosting company for any hosting services you need.