Toon posts:

SSL/TLS certificaat voor Ubuntu Mail Server

Pagina: 1
Acties:

Vraag

woensdag 10 augustus 2016 11:11

Acties:
  • 0 Henk 'm!
  • DeerDitch
  • Registratie: Mei 2010
  • Laatst online: 08-09 07:55

DeerDitch

Topicstarter
Hoi,

Ik ben bezig met het opzetten van een eigen mail server via een How to op Ars Technica. Om mijn mail server met andere mail servers te laten praten moet ik een SSL/TLS certifcaat hebben. Er zijn ongetwijfeld tal van mogelijkheden om dat via diverse partijen te doen, maar ik kwam na wat zoeken bij Let's Encrypt terecht en wil dat gebruiken.
Na wat verder zoeken blijkt dat Let's Encrypt ook geschikt is om op een mail server dienst te doen (omdat het voornamelijk is ontwikkeld voor webservers). Heb wat zitten pielen met Certbot, maar kwam er gisteravond niet helemaal uit. Daarom zoek ik wat antwoorden op de volgende vragen:

Kan ik de key/certificaat die Certbot voor een webserver maakt ook gebruiken voor mijn mail server (ik laat Certbot een key/certificaat maken voor Apache en gebruik dit voor Postfix/Dovecot)?
Oftewel: is een key een key, is een certificaat een certificaat?

Certbot is de agent die op mijn mail server draait en die contact legt met de Let's Encrypt CA? (ook een server neem ik aan)
Als de Let's Encrypt CA mijn Certbot vertrouwt dan maakt de Let's Encrypt CA een certificaat en stuurt dat naar mijn Certbot agent, die het dan kan gebruiken om te zeggen tegen andere mailservers: "kijk ik ben gecertificeerd"?
Heb ik het zo goed begrepen?

Hopelijk kan iemand mijn gedachten bevestigen/ontkrachten...

Thanks!

f251a3362191f14872ff368789dd3c1a220782a1c582fbb31fec609763dd2cef

Beste antwoord (via DeerDitch op 11-08-2016 09:12)

woensdag 10 augustus 2016 21:56

  • Compizfox
  • Registratie: Januari 2009
  • Laatst online: 30-09 00:11

Compizfox

Bait for wenchmarks

DeerDitch schreef op woensdag 10 augustus 2016 @ 11:11:
Kan ik de key/certificaat die Certbot voor een webserver maakt ook gebruiken voor mijn mail server (ik laat Certbot een key/certificaat maken voor Apache en gebruik dit voor Postfix/Dovecot)?
Ja. Certbot heeft alleen een webserver nodig voor de verificatie van je domein. (jij moet bewijzen dat jij het domein bezit, en dat gaat via een bestandje dat je webserver aanbiedt). Verder kun je het certificaat gebruiken voor wat je maar wilt.
Oftewel: is een key een key, is een certificaat een certificaat?
In dit geval wel. Het gaat hier om een zogenaamd X.509-certificaat, en dat kun je voor een hele boel dingen gebruiken: webservers (HTTPS), mailservers (IMAPS/SMTPS), FTP-servers (FTPS), enz.

Er zijn echter ook gevallen waar je een ander soort certificaat voor nodig hebt, zoals voor PGP.
Certbot is de agent die op mijn mail server draait en die contact legt met de Let's Encrypt CA? (ook een server neem ik aan)
Als de Let's Encrypt CA mijn Certbot vertrouwt dan maakt de Let's Encrypt CA een certificaat en stuurt dat naar mijn Certbot agent, die het dan kan gebruiken om te zeggen tegen andere mailservers: "kijk ik ben gecertificeerd"?
Heb ik het zo goed begrepen?
Zo ongeveer, ja.

Een CA is meer een abstracte entiteit, niet een server. Een CA zelf is in feite niets meer dan de organisatie achter een rootcertificaat dat door OSen/browsers vertrouwd wordt.

Certbot is een tooltje geautomatiseerd een certificaat kan laten ondertekenen door Let's Encrypt. Voordat een CA (zoals Let's Encrypt) je certificaat ondertekent, moet je natuurlijk wel bewijzen dat het domein van jou is. Dat doet Certbot automatisch via een bestandje dat beschikbaar moet worden gesteld op dat domein.

Wat je terugkrijgt van Let's Encrypt is het ondergetekend certificaat, wat je richting anderen kunt gebruiken om te bewijzen dat je bent wie je zegt dat je bent en op die manier beveiligde verbindingen op te zetten.

Gewoon een heel grote verzameling snoertjes

Alle reacties

woensdag 10 augustus 2016 12:51

Acties:
  • 0 Henk 'm!
  • Hero of Time
  • Registratie: Oktober 2004
  • Laatst online: 30-09 22:30

Hero of Time

Moderator LNX

There is only one Legend

via een How to op Ars Technica.
De allereerste vraag is dan natuurlijk: welke howto is dat dan? De tweede is dan: wat heb je zelf gevonden mbt werking van certificaten en met name hoe Let's Encrypt werkt? Ik kan niet geloven dat ze het proces niet op de website hebben staan.

Commandline FTW | Tweakt met mate

woensdag 10 augustus 2016 13:50

Acties:
  • 0 Henk 'm!
  • DeerDitch
  • Registratie: Mei 2010
  • Laatst online: 08-09 07:55

DeerDitch

Topicstarter
Deze, welliswaar van 2,5 jaar terug maar toch.

Volgens mij heb ik dat toch gedaan en stel ik daarna de vraag: "Heb ik het zo goed begrepen?"
Genoeg op de website, maar daar gaat het wel allemaal over browsers. Net als hier op de Certbot site. Zie alleen dingen staan over webserver/webroot...

f251a3362191f14872ff368789dd3c1a220782a1c582fbb31fec609763dd2cef

woensdag 10 augustus 2016 21:42

Acties:
  • +1 Henk 'm!
  • Mijzelf
  • Registratie: September 2004
  • Niet online

Mijzelf

Zoals je al dacht, een certificaat is een certificaat. Alleen heeft letsencrypt een webserver nodig om hem te genereren. (Kan overigens ook een ingebouwde webserver in de certbot zijn, alleen moet je dan nog steeds de port forwarden.)

Zelf heb ik exim4 en dovecot draaien, en gebruik ik het volgende script vanuit cron:
Bash:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

#!/bin/bash

letsencrypt renew

pushd /etc/letsencrypt/live/mydomain.tld/
cat privkey.pem cert.pem > combined.pem
popd

/etc/init.d/lighttpd force-reload
/etc/init.d/dovecot restart

cp /etc/letsencrypt/live/mydomain.tld/{fullchain,privkey}.pem /etc/exim4/
chown root:Debian-exim /etc/exim4/*.pem
chmod 640 /etc/exim4/*.pem

/etc/init.d/exim4 restart
Achtergrond: dovecot wil de private key en het certificaat in 1 file hebben, combined.pem. Deze maak ik dus iedere keer opnieuw aan.
Exim4 doet wat moeilijk over rechten, oftewel, hij leest de keys niet in voor hij zijn rechten dropt. Daarom kopieer ik de sleutels naar een andere plek, waar ik ze aangepaste rechten kan geven.

woensdag 10 augustus 2016 21:56

Acties:
  • Beste antwoord
  • +1 Henk 'm!
  • Compizfox
  • Registratie: Januari 2009
  • Laatst online: 30-09 00:11

Compizfox

Bait for wenchmarks

DeerDitch schreef op woensdag 10 augustus 2016 @ 11:11:
Kan ik de key/certificaat die Certbot voor een webserver maakt ook gebruiken voor mijn mail server (ik laat Certbot een key/certificaat maken voor Apache en gebruik dit voor Postfix/Dovecot)?
Ja. Certbot heeft alleen een webserver nodig voor de verificatie van je domein. (jij moet bewijzen dat jij het domein bezit, en dat gaat via een bestandje dat je webserver aanbiedt). Verder kun je het certificaat gebruiken voor wat je maar wilt.
Oftewel: is een key een key, is een certificaat een certificaat?
In dit geval wel. Het gaat hier om een zogenaamd X.509-certificaat, en dat kun je voor een hele boel dingen gebruiken: webservers (HTTPS), mailservers (IMAPS/SMTPS), FTP-servers (FTPS), enz.

Er zijn echter ook gevallen waar je een ander soort certificaat voor nodig hebt, zoals voor PGP.
Certbot is de agent die op mijn mail server draait en die contact legt met de Let's Encrypt CA? (ook een server neem ik aan)
Als de Let's Encrypt CA mijn Certbot vertrouwt dan maakt de Let's Encrypt CA een certificaat en stuurt dat naar mijn Certbot agent, die het dan kan gebruiken om te zeggen tegen andere mailservers: "kijk ik ben gecertificeerd"?
Heb ik het zo goed begrepen?
Zo ongeveer, ja.

Een CA is meer een abstracte entiteit, niet een server. Een CA zelf is in feite niets meer dan de organisatie achter een rootcertificaat dat door OSen/browsers vertrouwd wordt.

Certbot is een tooltje geautomatiseerd een certificaat kan laten ondertekenen door Let's Encrypt. Voordat een CA (zoals Let's Encrypt) je certificaat ondertekent, moet je natuurlijk wel bewijzen dat het domein van jou is. Dat doet Certbot automatisch via een bestandje dat beschikbaar moet worden gesteld op dat domein.

Wat je terugkrijgt van Let's Encrypt is het ondergetekend certificaat, wat je richting anderen kunt gebruiken om te bewijzen dat je bent wie je zegt dat je bent en op die manier beveiligde verbindingen op te zetten.

Gewoon een heel grote verzameling snoertjes

woensdag 10 augustus 2016 23:26

Acties:
  • +1 Henk 'm!
  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

DeerDitch schreef op woensdag 10 augustus 2016 @ 11:11:

Oftewel: is een key een key
Ja.
is een certificaat een certificaat?
Niet altijd, maar in dit geval wel.
Certbot is de agent die op mijn mail server draait en die contact legt met de Let's Encrypt CA? (ook een server neem ik aan)
Als de Let's Encrypt CA mijn Certbot vertrouwt dan maakt de Let's Encrypt CA een certificaat en stuurt dat naar mijn Certbot agent, die het dan kan gebruiken om te zeggen tegen andere mailservers: "kijk ik ben gecertificeerd"?
Heb ik het zo goed begrepen?
Je certbot zegt niks, maar zet 't certificaat (met bijbehorende data zoals keys) ergens neer waar je serversoftware er bij kan. Die presenteren dat certificaat dan vervolgens als een client verbindt.

Overigens, staar je niet blind op certbot -- er zijn tientallen andere ACME clients. Ik ben zelf erg gecharmeerd van acmetool.

All my posts are provided as-is. They come with NO WARRANTY at all.

donderdag 11 augustus 2016 09:12

Acties:
  • 0 Henk 'm!
  • DeerDitch
  • Registratie: Mei 2010
  • Laatst online: 08-09 07:55

DeerDitch

Topicstarter
Mijzelf schreef op woensdag 10 augustus 2016 @ 21:42:
Compizfox schreef op woensdag 10 augustus 2016 @ 21:56:
CyBeR schreef op woensdag 10 augustus 2016 @ 23:26:
Thanks voor jullie reacties. Kan alles wel gaan zitten copy/pasten in de terminal, maar wil ook graag weten hoe het in elkaar steekt. En dan heb je soms iemand nodig die je gedachten bevestigd of weerlegt...

@CyBeR
CertBot staat op de "Get Started" pagina van Let's Encrypt, dus daar was standaard naar toe gesurft. Als ik het allemaal onder de knie heb, dan zal ik ook eens een andere client proberen.

f251a3362191f14872ff368789dd3c1a220782a1c582fbb31fec609763dd2cef

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq