[uylug-varios] iRedMail/SSL
Raul Lopez
rlopezmoffa at adinet.com.uy
Fri Aug 24 11:40:26 PDT 2018
Gracias Gabriel, quitando CA_file y CA_path comenzo a funcionar.
El problema que estoy viendo ahora es que las cuenats que no pertenecen
al mismo dominio del servidor no se comunican con el exterior.
Todas las cuentas se comunican entre si a traves del webail pero no
reciben ni emiten para direcciones externas.
El test de propagacion mx da bien para todos los dominios pero el test
de smtp solo da bien en el dominio del servidor.
El 23/08/2018 a las 10:44 p.m., Gabriel Cabillón escribió:
> El 23/8/2018 a las 21:30, Raul Lopez escribió:
>> Hola.
>> Instale el iRedMail y anduvo todo bien hasta que le configure los
>> certificados SSL.
>> Probe crear cuentas, envio y recepcion en distintos dominios sin
>> problema.
>> Los certificados en ngnix anduvieron bien. Entrando al webmail
>> (RoundCube) y a la administracion (iRedAdmin) los marca como seguros.
>> El tema es que despues de aplicar los certificados en Postfix y
>> Dovecot como sugiere la documentacion de iRedMail da error de
>> autenticacion SMTP al intentar enviar por webmail o thunderbird.
>> Agradezco cualquier sugerencia. No tengo experiencia previa con
>> Postfix/Dovecot y ni idea por donde arrancar a buscar.
>>
>> /etc/postfix/main.cf
>> ...
>> #
>> # TLS settings.
>> #
>> # SSL key, certificate, CA
>> #
>> smtpd_tls_key_file = /etc/ssl/private/domain.key
>> smtpd_tls_cert_file = /etc/ssl/certs/chained.pen
>> smtpd_tls_CAfile = /etc/ssl/certs/dhparam.pem
>> smtpd_tls_CApath = /etc/ssl/certs
>
> el certificado es chained.pen o chained.pem?
>
> el CAFfile dhparam.pem más que certificado, parece el nombre del
> archivo donde se encuentran los parámetros Diffie–Hellman generados con
> por ej. openssl dhparam ...
>
> si no emitís certificados para la autenticación de los clientes
> conviene que no utilices CAfile y CApath
> (http://www.postfix.org/TLS_README.html)
>
>> ...
>>
>> /etc/dovecot/dovecot.conf
>> ...
>> ssl_protocols = !SSLv2 !SSLv3
>> ssl = required
>> verbose_ssl = no
>> #ssl_ca = </path/to/ca
>>
>> #ssl_cert = </etc/ssl/certs/iRedMail.crt
>> #ssl_key = </etc/ssl/private/iRedMail.key
>>
>> ssl_cert = </etc/ssl/certs/chained.pem
>> ssl_key = </etc/ssl/private/domain.key
>> ssl_ca = </etc/ssl/certs/dhparam.pem
>> ...
>
> mismo comentario de arriba con respecto al dhparam.pem
>
>>
>>
>> /etc/nginx/sites-available/00-default-ssl.conf
>> ...
>> ssl on;
>> ssl_certificate /etc/ssl/certs/chained.pem;
>> ssl_certificate_key /etc/ssl/private/domain.key;
>> ssl_session_timeout 5m;
>> ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
>> ssl_ciphers
>> ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA;
>>
>> ssl_session_cache shared:SSL:50m;
>> ssl_dhparam /etc/ssl/certs/dhparam.pem;
>> ssl_prefer_server_ciphers on;
>> ...
>>
>> Saludos
>> Raul
>>
>>
>>
>> _______________________________________________
>> Uylug-varios mailing list
>> Uylug-varios at listas.uylug.org.uy
>> http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy
>
> si seguís con problemas, algún log de postfix y dovecot con el error
> sería de ayuda.
>
> Saludos,
> Gabriel
> _______________________________________________
> Uylug-varios mailing list
> Uylug-varios at listas.uylug.org.uy
> http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy
More information about the Uylug-varios
mailing list