Toon posts:

[Postfix] Meerdere TLS certificaten

Pagina: 1
Acties:

donderdag 19 juni 2008 17:49

Acties:
  • KoBolD54
  • Registratie: Maart 2002
  • Laatst online: 17:49

KoBolD54

Topicstarter
ik heb een mail server voor persoonlijk gebruik maar benader deze via twee manieren.

1. Vanaf het internet (incoming en outgoing server adres is dus een FQDN)
2. Via het lokale netwerk (incoming en outgoing server adres is dus een private IP adres)

Nu heb ik een TLS certificaat gemaakt voor de FQDN manier. Omdat de common name in het certificaat moet verwijzen naar de FQDN werkt dit certificaat helaas niet bij het gebruik op de lokale (2) manier. Nu heb ik een nieuw certificaat gemaakt waar de common name dus het private IP adres is. Echter lukt het mij niet om in Postfix gebruik te maken van beide certificaten. In main.cf heb ik het volgende:

code:
1
2
3
4

smtpd_tls_cert_file = /etc/postfix/cert1.crt
smtpd_tls_key_file = /etc/postfix/cert1.key
smtpd_tls_cert_file = /etc/postfix/cert2.crt
smtpd_tls_key_file = /etc/postfix/cert2.key


Hij pakt dus maar 1 van deze 2 certificaten. Hoe kan ik binnen postfix ervoor zorgen dat ik meerdere certificaten kan gebruiken?

donderdag 19 juni 2008 18:02

Acties:
  • Osiris
  • Registratie: Januari 2000
  • Niet online

Osiris

Hoe bedoel je "benaderen via het lokale netwerk"? Ik neem aan dat de FQDN naar het externe IP-adres van je router verwijst en dat je op dat IP ook van buitenaf benaderbaar bent?

Kun je niet ook lokaal je externe adres gebruiken? Beetje moderne router ondersteunt namelijk gewoon "nat loopback", waardoor je vanaf *binnen* je LAN gewoon naar het externe adres van je internetverbinding kunt connecten (dus met je 'externe' FQDN), terwijl hij wel bij je 'interne' server uitkomt.

donderdag 19 juni 2008 18:07

Acties:
  • Jaap-Jan
  • Registratie: Februari 2001
  • Laatst online: 21:35

Jaap-Jan

Dat heb ik opgelost door intern gewoon m'n FQDN naar 192.168.0.2 te laten wijzen op de DNS server.

| Last.fm | "Mr Bent liked counting. You could trust numbers, except perhaps for pi, but he was working on that in his spare time and it was bound to give in sooner or later." -Terry Pratchett

donderdag 19 juni 2008 18:14

Acties:
  • Boudewijn
  • Registratie: Februari 2004
  • Niet online

Boudewijn

omdat het kan

Je kunt maar 1 certificaat voor encryptie gebruiken geloof ik. Reden is dat postfix je request niet kan lezen zonder de juiste key te hebben, en dan heb je kip+ei probleem (hij kan de key niet selecteren omdat hij het request niet kan lezen).

donderdag 19 juni 2008 19:36

Acties:
  • KoBolD54
  • Registratie: Maart 2002
  • Laatst online: 17:49

KoBolD54

Topicstarter
De reden waarom ik het wil is dat ik twee ADSL lijnen heb en dus ook meerdere IP addressen. Ook is het fijn om grote bijlagen niet via het externe IP adres binnen te halen maar via het LAN.

donderdag 19 juni 2008 20:09

Acties:
  • blaataaps
  • Registratie: Juli 2001
  • Niet online

blaataaps

Want als je vanaf je internet netwerk je externe gaat, gaat dat via je ISP? Dat heb je ook geprobeerd? Vreemde setup heb je dan. Als je meerdere certificaten wil, zul je zoals boudewijn aangeeft meerdere instanties van postfix moeten draaien, domweg de directive herhalen in de config werkt niet zomaar natuurlijk :)

vrijdag 20 juni 2008 17:10

Acties:
  • gertvdijk
  • Registratie: November 2003
  • Laatst online: 22:51

gertvdijk

SSL en TLS hebben twee kenmerkende eigenschappen: trust (kan ik die host vertrouwen en is hij wie hij zegt dat hij is? op basis van een boompje wordt dit bekeken.) en versleuteling. Als je alleen versleuteling wil gebruiken kan je de domain mismatch gewoon negeren en moet je imho ook niet gaan klooien in je dns.

Maar dan rest mij nog een prangende vraag: waarom wil je ook lokaal TLS'en? Je lokale netwerk is nog niet evil?
Boudewijn schreef op donderdag 19 juni 2008 @ 18:14:
Je kunt maar 1 certificaat voor encryptie gebruiken geloof ik. Reden is dat postfix je request niet kan lezen zonder de juiste key te hebben, en dan heb je kip+ei probleem (hij kan de key niet selecteren omdat hij het request niet kan lezen).
Dat geldt voor SSL inderdaad. Dan wordt eerst de versleutelingstunnel opgezet.
AFAIK gaat een TLS op SMTP (ESMTP toch?) met een EHLO (gevolgd door de hostname van de client). Daarna worden de keys uitgewisseld en is de verbinding versleuteld. Ik kan me voorstellen dat het mogelijk is met TLS een certificaat te kiezen a.d.h.v. de EHLO. Gebruikelijk is anders.
KoBolD54 schreef op donderdag 19 juni 2008 @ 19:36:
De reden waarom ik het wil is dat ik twee ADSL lijnen heb en dus ook meerdere IP addressen.
Ik zou dan inderdaad twee verschillende instances draaien.
KoBolD54 schreef op donderdag 19 juni 2008 @ 19:36:Ook is het fijn om grote bijlagen niet via het externe IP adres binnen te halen maar via het LAN.
Haha, heb je dat al getest? Loopback zit toch wel in elke router tegenwoordig. Wat Osiris zegt dus.

[ Voor 3% gewijzigd door gertvdijk op 20-06-2008 17:11 ]

Kia e-Niro 2021 64kWh DynamicPlusLine. 3x Victron MP-II op 15kWh US5000 3f thuisbatterij met 3x25A→3x40A PowerAssist, Victron EVCS, 3200Wp HoyMiles zp. my GitHub, my blog

vrijdag 20 juni 2008 17:16

Acties:
  • Jaap-Jan
  • Registratie: Februari 2001
  • Laatst online: 21:35

Jaap-Jan

gertvdijk schreef op vrijdag 20 juni 2008 @ 17:10:

Maar dan rest mij nog een prangende vraag: waarom wil je ook lokaal TLS'en? Je lokale netwerk is nog niet evil?
Ik biedt gewoon alleen mail over SSL aan, het is gewoon onhandig als ik ook nog moet gaan bedenken of ik nu http://bla.net/mail of https://bla.net/mail wil hebben. Idem voor respectievelijk Postfix (SMTPS) en Dovecot (IMAPS) anders moet ik twee accounts aan gaan maken in Evolution, één beveiligde en één onbeveiligde voor onderweg, dan kies ik gewoon voor enkel beveiligd.

Bovendien gebruik ik hem ook wel over wireless, al is dat afgeschermd met een 63-bytes WPA2 key, dus niet echt zinvol om te kraken, maar het kan geen kwaad, imho. :)

[ Voor 2% gewijzigd door Jaap-Jan op 21-06-2008 16:08 . Reden: Postfix en IMAPS klopt nie :P ]

| Last.fm | "Mr Bent liked counting. You could trust numbers, except perhaps for pi, but he was working on that in his spare time and it was bound to give in sooner or later." -Terry Pratchett

zaterdag 21 juni 2008 14:05

Acties:
  • _JGC_
  • Registratie: Juli 2000
  • Laatst online: 01:51

_JGC_

Kan je niet zodanig je master.cf ombouwen dat er 2 verschillende smtpd's met verschillende opties luisteren op beide IP adressen?

zaterdag 21 juni 2008 14:24

Acties:
  • Confusion
  • Registratie: April 2001
  • Laatst online: 01-03-2024

Confusion

Fallen from grace

gertvdijk schreef op vrijdag 20 juni 2008 @ 17:10:
Als je alleen versleuteling wil gebruiken kan je de domain mismatch gewoon negeren en moet je imho ook niet gaan klooien in je dns.
Zorgen dat server.domein.tld zowel intern als extern naar dezelfde server resolved, maar in beide gevallen een ander IP oplevert, zou ik niet echt 'klooien' willen noemen. Het lijkt me een normale configuratie.

Wie trösten wir uns, die Mörder aller Mörder?

zaterdag 21 juni 2008 14:38

Acties:
  • Kees
  • Registratie: Juni 1999
  • Laatst online: 18:06

Kees

Serveradmin / BOFH / DoC
Je zal inderdaad in de master.cf moeten aangeven dat je de server voor lokaal (interne IP) met andere settings wil gebruiken. Als je server maar 1 interne IP heeft, en de router ervoor forward poort 25 naar je server, dan zou ik twee verschillende poorten gaan gebruiken, een voor inter (poort 25) en een voor extern (26 bv) en dan stuur je poort 25 op je router door naar poort 26 op de server.

Je master.cf komt er dan ongeveer zo uit te zien:
# ==========================================================================
# service type  private unpriv  chroot  wakeup  maxproc command + args
#               (yes)   (yes)   (yes)   (never) (100)
# ==========================================================================
#smtp = poort 25, intern
smtp      inet  n       -       -       -       -       smtpd -o smtpd_tls_cert_file=/etc/postfix/cert1.crt 
    -o smtpd_tls_key_file=/etc/postfix/cert1.key
# poort 26, extern
26      inet  n       -       -       -       -       smtpd -o smtpd_tls_cert_file=/etc/postfix/cert2.crt 
    -o smtpd_tls_key_file=/etc/postfix/cert2.key

Deze configuratie draai ik ook op tweakers.net, extern verkeer komt op de server op poort 26 binnen (de loadbalancer zet 213.239.154.11:25 om naar intern:26). Maar dat heeft in ons geval meer te maken met het skippen van spamchecks die redelijk zwaar kunnen zijn voor het systeem als je ineens 10.000 nieuwsbrieven eruit gooit.

[ Voor 13% gewijzigd door Kees op 21-06-2008 14:42 ]

"Een serveradmin, voluit een serveradministrator, is dan weer een slavenbeheerder oftewel een slavendrijver" - Rataplan

zondag 22 juni 2008 11:26

Acties:
  • axis
  • Registratie: Juni 2000
  • Laatst online: 26-01-2023

axis

Veel software ondersteunt ook 'alternative names' in SSL certs, dus dan zou je met 1 cert klaar zijn..

Ik gebruik dat op een IIS server, en IE slikt die meerdere hostnames in het cert prima.. Maar ik weet dat het geen industry standard is, en dat iedereen weer andere varianten op dat thema ondersteunt..

Two advices for network troubleshooting.. learn to draw diagrams in Visio, and THINK IN LAYERS!

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq