StarSSL + postfix + dovecot

[StrangerSerg]

Доброго времени суток!
Кто знает растолкуйте как правильно подключить сертификаты к почтовому (Postfix + Dovecot).
В наличии:
1_Intermediate.crt  1_root_bundle.crt  2_my-domain.xx.crt my-domain.xxx.pem = сертификаты полученые от StarSSL
my-domain.csr  my-domain.key = сертификат и ключ сгенерированы на хосте.

Из различных манов я так и не смог уразуметь какие сертификаты нужно указывать в конфиге postfix main.cf

Код: (javascript) [Выделить]

smtpd_tls_cert_file=/etc/postfix/ssl/???
smtpd_tls_key_file=/etc/postfix/ssl/???
smtpd_tls_CAfile=/etc/postfix/ssl/???
smtpd_tls_security_level=may
smtpd_tls_protocols = !SSLv2, !SSLv3

smtpd_use_tls=yes
smtpd_tls_auth_only = yes

smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_auth_enable = yes
smtpd_recipient_restrictions =
permit_sasl_authenticated,
permit_mynetworks,
reject_unauth_destination

smtp_tls_cert_file=/etc/postfix/ssl/???
smtp_tls_key_file=/etc/postfix/ssl/???
smtp_tls_CAfile=/etc/postfix/ssl/???
smtp_use_tls=yes

 

аналогичные строки нужно заполнить в конфиге dovecot

[AnrDaemon]

csr это Certificate Signing Request
Его можно либо выбросить, либо сохранить на будущее для обновления сертификата.

я так и не смог уразуметь какие сертификаты

Какие просят, такие и указывать. Что вам непонятно?

[StrangerSerg]

Какие просят, такие и указывать. Что вам непонятно?

К примеру: smtpd_tls_CAfile ?

[AnrDaemon]

Можно ничего не указвать вообще. CAcerts обычно и так установены в системе.
Достаочно прописать локальный сертификат и ключ.

[StrangerSerg]

Подожду более развернутого ответа, быть может кто-то подобное настраивал.

[AnrDaemon]

Т.е. думать вы не хотите? Печально.

[StrangerSerg]

AnrDaemon,
Удалитесь из данной темы, вы ровным счетом ничем не помогли. Ваш сарказм сдесь не уместен. Исходя из контекста ваших сообщений я сильно сомеваюсь что в данной теме и вообще на этом форуме вы вообще приносите пользу.

[Punko]

StrangerSerg, как правильно заметилAnrDaemon, CSR - не сертификат.
Далее:
СА certificate - обычно root certificate
key - приватный ключ, который сгенерирован на хосте.
Domain Certificate - это или self-signed сертификат или сертификат, который получен от СА на основании переданного вами CSR.

Какие просят, такие и указывать. Что вам непонятно?

более чем понятный ответ

[StrangerSerg]

Отправка писем идет, но они не шифруются, в логах вижу такое:

Код: (javascript) [Выделить]

postfix/smtp[3311]: warning: cannot get RSA private key from file /etc/ssl/private/server.crt: disabling TLS support
Feb 18 00:46:13 mail postfix/smtp[3311]: warning: TLS library problem: 3311:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:703:Expecting: ANY PRIVATE KEY:
Feb 18 00:46:13 mail postfix/smtp[3311]: warning: TLS library problem: 3311:error:140B0009:SSL routines:SSL_CTX_use_PrivateKey_file:PEM lib:ssl_rsa.c:669:
UPD

Сделал cat server.key >> server.crt заработало.

[AnrDaemon]

А правильно указать путь к ключу в голову не пришло?…

[StrangerSerg]

В первом посте укзаны пути, и они верные и не изменились. Предполагаю postfix не воспринимал .key по причине установленого пароля на .key

[AnrDaemon]

А вам не говорили, что если вы хотите чтобы сервер стартовал сам, ключ должен быть без пароля?…