Aktivieren von SSL für PostfixAdmin – SouToub


postfixadminAufnahme SSL zum PostfixAdmin kann nützlich sein, wenn Sie den Admin-Bereich verfügbar machen möchten. Es ist keine gute Idee, alle Verwaltungsaufgaben durch Übergabe von Daten im Klartext auszuführen.… Dies kann nur gerechtfertigt werden, wenn die Verwaltung ausschließlich über das lokale Netzwerk und der Zugriff über das Internet erfolgt PostfixAdmin Nein. Leider hatte einer meiner Mailserver nur eine externe Adresse, nein NAT’a war nicht und ich musste über etwas Sicherheit nachdenken, über die ich in diesem Artikel sprechen werde.

Soweit PostfixAdmin ist nur eine Ergänzung für MTA PostfixEs wird erwartet, dass es sich in der Hierarchie der Konfigurationselemente befindet Postfix.


Hier finden Sie weitere Informationen zu Postfix Sie können im Hauptartikel über die Konfiguration – Konfigurieren von Postfix.


Aktivieren von SSL für PostfixAdmin

Der erste Schritt besteht darin, ein Zertifikat zu erstellen und erst dann, basierend darauf, den offenen Zugriff auf Port 443 zu ermöglichen.

Erstellen Sie ein Zertifikat

Wenn Sie keine vollständigen Pfade zu Dateien angeben, geschieht alles im aktuellen Verzeichnis. Mit dem Befehl können Sie herausfinden, wo Sie sich jetzt befinden:


Ok, fahren wir mit dem Erstellen eines Zertifikats fort. Unter dem Strich benötigen Sie ein öffentliches Zertifikat, das wir an jeden und überall verteilen können, sowie einen privaten (privaten) Schlüssel aus diesem Zertifikat. Der Inhaber dieses Schlüssels kann alle Informationen entschlüsseln, die mit dem öffentlichen Zertifikat verschlüsselt wurden. Daher die Einschränkungen – wir sind verpflichtet, die sichere Speicherung des privaten Schlüssels zu gewährleisten. Wie kann man das machen? Im Prinzip kann dieser Schlüssel verschlüsselt werden, aber es gibt einen unangenehmen Moment – apache2 fragt beim Starten des Daemons ständig nach einem Kennwort für diesen Schlüssel. Dies ist nicht die bequemste Option, daher können Sie den Schlüssel in entschlüsselter Form aufbewahren, indem Sie ihm die erforderlichen Berechtigungen zuweisen (Zugriff nur für root). Also machen wir’s:

– –Knoten sagt nur, dass der private Schlüssel des Zertifikats nicht verschlüsselt wird. Übrigens in der Dokumentation apache2 ist sehr detailliert über Zertifikate und die häufigsten Aktionen auf ihnen geschrieben. Ich rate Ihnen, diese unbedingt zu lesen.

Kopieren Sie die Zertifikate vom aktuellen Speicherort in das traditionelle Geschäft


Wir weisen die notwendigen Rechte zu, wie ich oben sagte. Wir prüfen sofort, wer Zugriff auf die Datei hat.



Nur root hat Rechte, großartig. Wir bereinigen alles im aktuellen Verzeichnis:

Das Zertifikat und sein privater Schlüssel sind fertig, es ist Zeit, sich damit anzufreunden apache2.

Apache-Konfiguration

Wir verbinden das Modul SSL::


Eigentlich ist der Befehl selbst ein Skript, das bestimmte Module verbindet (in meinem Fall das Modul SSL) zur Konfiguration Apache2indem Sie symbolische Links im Verzeichnis erstellen / etc / apache2 / mods-enabled… Dies können Sie jedoch bereits aus dem Handbuch (dem Befehl) herausfinden Mann a2enmod).

Wir aktivieren die virtuelle Site:


Jetzt ist es Zeit, die Konfiguration zu ergänzen SSL einige Veränderungen:

Stellen Sie sicher, dass der Parameter SSLEngine definiert und sinnvoll aufund stellen Sie auch die verwendeten Versionen ein SSL / TLS… Soweit SSL Die Versionen 2 und 3 sind bereits veraltet. Es ist besser, sie von der Verwendung auszuschließen und nur zu belassen TLS… Insgesamt müssen die folgenden Zeilen in der Datei vorhanden sein:

Default all = + SSLv3 + TLSv1 + TLSv1.1 + TLSv1.2, aber wie ich oben sagte, möchte ich deaktivieren SSLv3… Lesen Sie mehr in der offiziellen Dokumentation .

Vergessen Sie auch nicht, den Pfad zu den neu generierten Zertifikatdateien anzugeben und die Werte der erforderlichen Parameter anzugeben:

Jetzt ist es Zeit, sich um die automatische Clientumleitung zum sicheren Port zu kümmern. Aktivieren Sie dazu das Modul alias::


Lassen Sie uns die Datei bearbeiten:

Durch Hinzufügen zur Beschreibung VirtualHost die folgende Richtlinie:

Ich habe eine einfache lokale Adresse angegeben, während ich gerade einen Server im Netzwerk teste. Wenn ich mich entscheide, das Admin-Panel nach draußen zu stellen (wenn ich mich überhaupt entscheide), muss ich die öffentliche Adresse oder den Domänennamen des Servers in den Einstellungen festlegen, die Sie sowieso haben sollten, da Sie einen Mailserver einrichten.

Nun können Sie a neu startenpache2::


Es gab keine Probleme beim Neustart. Sie können überprüfen, wie alles funktioniert, indem Sie in die Adressleiste eingeben http://192.168.1.120/postfixadmin… Danach sollten Sie zu weitergeleitet werden https-Seite und melde ein nicht vertrauenswürdiges Zertifikat (das ist richtig, da wir ein selbstsigniertes Zertifikat verwenden):

Aktivieren von SSL für PostfixAdmin 02

Damit ist die Einrichtung abgeschlossen.

Kommentare bereitgestellt von HyperComments

Leave a Reply

Your email address will not be published. Required fields are marked *