Postfix, TLS và chứng chỉ tự ký

user3168961

13:52, 23/10/2022

Tôi đang cố thiết lập hậu tố với TLS.

Tôi đã làm mới nó bằng cách thực hiện các thao tác sau để xóa các giá trị mặc định để máy chủ kích hoạt tls cập nhật tệp main.cf và tạo chứng chỉ:

sudo postconf -X `postconf -nH | egrep '^smtpd(_|_enforce_|_use_)tls'`
Sudo postfix tls enable-server
sudo postfix tải lại

Nhiều hướng dẫn mà tôi đã làm theo dường như chỉ ra rằng đây là tất cả những gì cần thiết để kích hoạt TLS.

Khi tôi chạy như sau ...

openssl s_client -kết nối mailhost:25 -starttls smtp

tôi nhận được lỗi:

Lỗi xác minh: chứng chỉ tự ký

Điều này tạo ra lỗi từ ứng dụng của tôi:

stream_socket_enable_crypto(): Thao tác SSL không thành công với mã 1. Thông báo lỗi OpenSSL:  
  lỗi: 1416F086: Quy trình SSL: tls_ process_server_certificate: xác minh chứng chỉ không thành công

Nếu tôi hiểu nó, lệnh enable-server sẽ tạo chứng chỉ tự ký cho tôi và các nguồn khác cho tôi biết đó là điều bắt buộc.

Có điều gì tôi đang hiểu lầm về tự ký và hậu tố không? Tại sao tôi nhận được lỗi xác thực?

748

1 + 0

pop3

Điểm:1

Server

Steffen Ullrich

15:33, 23/10/2022

Chứng chỉ tự ký có nghĩa là nó không được cấp bởi cơ quan cấp chứng chỉ đáng tin cậy công khai như Let's Encrypt. Điều này có nghĩa là chứng chỉ sẽ không được tin cậy bởi các ứng dụng chỉ tin tưởng vào các chứng chỉ được cấp công khai - tức là hầu hết các ứng dụng. Đó là lý do tại sao bạn gặp phải lỗi xác thực này.

0 + 2

Thomas Ward

15:37, 23/10/2022

Mặc dù có nhiều cách để bỏ qua các chứng chỉ không hợp lệ (tức là TLS không có xác thực, điều phổ biến trong thế giới SMTP+TLS dành cho những người lười biếng), nhưng bạn hoàn toàn chính xác 100% rằng các chứng chỉ 'tự ký' sẽ không bao giờ được tin cậy bởi các ứng dụng từ xa, v.v. . Bạn có thể muốn đề cập với OP rằng nếu họ muốn nó hợp lệ và không gây ra lỗi đó, thì họ phải lấy chứng chỉ SSL hợp pháp để sử dụng trong máy chủ thư của họ.

Hồi đáp

Steffen Ullrich

16:02, 23/10/2022

@ThomasWard: Nhìn chung, mặc dù bạn đúng, nhưng rất tiếc là không biết gì về trường hợp sử dụng của OP. Nó có thể là một bản cài đặt Postfix để gửi thư cục bộ, nó có thể là một máy chủ toàn công ty hoặc nó có thể là một hệ thống truy cập internet. Tuy nhiên, loại chứng chỉ nào cần nhận và cách nhận sẽ phụ thuộc rất nhiều vào trường hợp sử dụng (không xác định).

Hồi đáp

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: Postfix, TLS and self-signed certificates

TH: Postfix, TLS และใบรับรองที่ลงนามเอง

RO: Postfix, TLS și certificate autosemnate

RU: Postfix, TLS и самозаверяющие сертификаты

VI: Postfix, TLS và chứng chỉ tự ký

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.