生成證書請求

1. 下載CSR生成工具

您需要使用CSR生成工具來創建證書請求。

下載AutoCSR：

http://verisign.itrus.com.cn/soft/autocsr.rar

2.使用openssl命令來完成申請：

[root@mail misc]# openssl genrsa -out mailkey.pem 2048

[root@mail misc]# openssl req -new -key mailkey.pem -out cert.csr

#cert.csr文件為 csr文件，請將其發送給聚名工作人員

Generating a 2048 bit RSA private key

++++++

……++++++

writing new private key to 'mailkey.pem'

-----

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

-----

Country Name (2 letter code) [GB]:CN ：國家縮寫 CN為中國的縮寫

State or Province Name (full name) [Berkshire]:Shandong ：省市名稱

Locality Name (eg, city) [Newbury]:jinan ：市區名稱

Organization Name (eg, company) [My Company Ltd]:test ：公司英文名稱

Organizational Unit Name (eg, section) []:tech ：部門名稱

Common Name (eg, your name or your server's hostname) []:admin ：通用名稱，完整域名

Email Address []:admin@test.com ：郵箱地址，可選填項

Please enter the following 'extra' attributes

to be sent with your certificate request

A challenge password []:

An optional company name []:

安裝證書到postfix,并配置postfix

cp demoCA/cacert.pem /etc/postfix/

cp mailkey.pem /etc/postfix/

cp mail_signed_cert.pem /etc/postfix/

vi /etc/postfix/main.cf 編輯配置文件，增加如下幾行：

上半部分的配置是系統作為服務端，接收客戶端和其他郵件服務器時如何啟用tls;下版半部分服務器作為客戶端對外發送郵件也啟用tls

smtpd_use_tls = yes

smtpd_tls_key_file = /etc/postfix/mailkey.pem 私鑰文件的配置

smtpd_tls_cert_file = /etc/postfix/mail_signed_cert.pem 服務器證書文件的配置

smtpd_tls_CAfile = /etc/postfix/cacert.pem 中間級證書文件的配置

smtpd_tls_loglevel = 1

smtpd_tls_received_header= yes

smtpd_tls_security_level = may

smtpd_use_tls=yes

smtp_tls_note_starttls_offer = yes

smtp_tls_key_file = /etc/postfix/mailkey.pem

smtp_tls_cert_file = /etc/postfix/mail_signed_cert.pem

smtp_tls_CAfile = /etc/postfix/cacert.pem

說明一個參數

smtpd_tls_security_level = may

這樣設置你的SMTP可以加密可以不加密，不要設置成

smtpd_tls_security_level = encrypt

否則就不響應非加密的請求了，這樣不行，因為如果你是一個MTA的話，大部分跟你通信的MTA都沒有encrypt的。

五。 重啟postfix服務，就可以了。

service postfix restart

六。 如果需要打開465(smtps)端口，則需要進行進行如下操作

修改/etc/postfix/master.cf文件

在smtp inet n - n - - smtpd行下，加入如下一行：

smtps inet n - n - - smtpd -o smtpd_tls_wrappermode=yes

七。 強制使用TLS發信

通過以上的配置啟用了tls發信設置，那麼系統發信時會檢查對方服務器是否支持tls,如果支持則使用tls傳輸，否則采用正常的郵件發送。postfix可以設置向某些域發送強制使用TLS,如果對方不支持則郵件將延遲發送，如下是操作方法：

1. 創建/etc/postfix/tls_policy文件，加入如下一行

test.com encrypt

2. 執行postmap tls_policy

3. 修改main.cf文件，增加如下行

smtp_tls_policy_maps = hash:/etc/postfix/tls_policy

注：該選項會忽略smtp_use_tls,即無論smtp_use_tls是yes還是no,都會啟用smtp_tls_policy_maps

4. 重啟postfix服務