Подписание сертификата сервера
Последний этап создания серверного сертификата заключается в подписании его центром сертификации. Если вы пользуетесь услугами официального центра, следуйте его инструкциям. В противном случае запустите openssl из командной строки, чтобы создать файл postfix_
public_cert. pem на основе postfix_private_key. pem.
# openssl ca -policy policy_anything -out postfix_public_cert.pem -infiles postfix_private_key.pem
Using configuration from /usr/local/ssl/openssl.cnf Enter pass phrase for ./demoCA/private/cakey.pem: Check that the request matches the signature Signature ok Certificate Details:
Serial Number: 1 (0×1)
Validity
Not Before: Nov 9 21:25:13 2003 GMT Not After : Nov 8 21:25:13 2004 GMT Subject:
countryName = EX
stateOrProvinceName = Examplia
localityName = Exampleton
organizationName = Example Inc.
organizationalUnitName = MX Services
commonName = mail.example.com
emailAddress = postmaster@example.com
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
Netscape Comment:
OpenSSL Generated Certificate
X509v3 Subject Key Identifier:
9E:36:9D:9B:ED:4E:32:73:0E:86:55:2A:FF:1B:49:F9:1C:47:17:75
X509v3 Authority Key Identifier:
keyid:00:52:AD:B7:FA:C2:EF:01:1A:9E:7B:0F:57:DB:DC:E4:82:59:8D:0B
DirName:/C=EX/ST=Examplia/L=Exampleton/O=Certification Authority Example Inc./CN=mail.example.com/emailAdd ress=postmaster@example.com serial:00
Certificate is to be certified until Nov 8 21:25:13 2004 GMT (365 days) Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y Write out database with 1 new entries Data Base Updated
Файл postfix_public_cert.pem – это сертификат, который будет высылаться клиентам на начальной стадии установления TLS-соединения. Вместе с этим сертификатом Postfix будет также высылать подпись из файла postfix_private_key.pem. Хост-получатель при проверке сертификата postfix_public_cert.pem выполнит определенные вычисления на основании подписи, сформированной Postfix с использованием секретного ключа, и подписи в CA-сертификате. Результат должен соответствовать подписи в postfix_public_cert.pem. В случае несовпадения открытый ключ будет признан фальшивым и соединение немедленно завершится.