2 votos

Cómo instalar AVG en un servidor de correo electrónico

Tengo un servidor que se ejecuta en un servidor web y un servidor de correo electrónico para múltiples dominios, y ambos servicios están configurados para utilizar los certificados SSL de Let's Encrypt (para cada dominio, el servidor web y el servidor de correo electrónico utilizar el mismo certificado).

Quiero ir a un 2 instalación del servidor, host y el servidor web en una máquina y el servicio de correo electrónico en otro. Para hacer que esto suceda, creo que me voy a correr dentro de estos obstáculos:

  • Certificado de Gestión: yo necesito ser capaz de recuperar los duplicados de certificados para cada dominio, de modo que ambos equipos puede llegar a ser quienes son, o posiblemente tener el correo de la máquina que aloja obtener sólo los certificados de mail.example.com en lugar de example.com y esta configurado para cada dominio
  • Enviar correo electrónico desde el servidor web: algunos de los sitios web necesito alojar tendrá contacto, inicio de sesión y los formularios de inscripción, y estos deben ser capaces de desencadenar los mensajes de correo electrónico. Este parece ser el mayor problema que yo no sé cómo he podido configurar Postfix en el servidor web para que quizás les envía a través del servidor de correo electrónico.

¿Cuál sería la mejor manera de disociar estos servicios, y cómo iba yo a ser capaz de configurar un servidor para cada servicio sin que se produzcan los problemas que he descrito?

2voto

Torsten Link Puntos 635

Certificados en un servidor constará de tres partes:

Primero la clave privada: Esta es generada por la propia aplicación o el uso de una herramienta como openssl. La clave privada es la parte más importante aquí y debe mantenerse en secreto, como todo el mundo que tiene la llave puede suplantar a sus servidores.

Es generalmente protegido por una contraseña.

El uso de la clave privada puede generar lo que se llama "la RSE", que es una solicitud de certificación. Antes de enviar a una autoridad para generar un certificado de él.

La solicitud contiene datos acerca de su empresa (el País, la Ubicación, Companyname, de la ciudad, algunos de ellos opcionales) y todos los nombres de host que el certificado debería ser válido para (1-n), esta característica se llama "nombres alternativos del sujeto

Este certificado es la segunda parte sea necesario.

La tercera parte es el certificado de la cadena (es decir, todos los certificados que donde participan a la hora de crear su certificado). Por lo general, obtener la cadena de la autoridad junto con su certificado. De lo contrario, siempre se puede descargar desde el sitio web de la autoridad.

Conociendo estos hechos, es fácil concluir que:

siempre

  • como usted tiene tres partes (la más importante de la clave privada)
  • como su software de servidor (servidor de correo, servidor web, lo que sea) permite la importación de un externo clave privada
  • como el nombre de host del servidor coincide con al menos UNO de los nombres alternativos del sujeto en el certificado o en el certificado es un certificado comodín)

usted puede utilizar UN Certificado para tantos servidores como desee.

La disociación no es un problema en absoluto.

1voto

Jens Bradler Puntos 997

Ustedes ya han puesto de relieve los principales pasos de este proceso: los certificados y de la delegación de los servicios de correo desde la web al servidor de correo.

Con respecto a los certificados que yo recomendaría el uso de diferentes nombres de host para el correo electrónico y servidor web y así diferentes certificados.

Como usted está usando Vamos a Cifrar - la mayoría de los casos de uso de sus herramientas son para servidores web. El ACME protocolo necesidades de un cheque que usted está en control de su nombre de dominio. Esto funciona bien con los recursos web. El certbot (o cualquier otra herramienta de apoyo ACME) va a poner un simple archivo en su webroot y le dice Vamos a Cifrar a comprobarlo a través de HTTP o HTTPS solicitud.

Para su servidor de correo no funciona. Pero si el uso de cualquier proveedor de DNS (como Amazon Route 53 DNS o Fácil, o ...) puede hacer lo mismo sin necesidad de un servidor web.

Consulte la siguiente lista sobre los sistemas DNS del proveedor de plugins en Certbot:

--dns-cloudflare      Obtain certificates using a DNS TXT record (if you are
                      using Cloudflare for DNS). (default: False)
--dns-cloudxns        Obtain certificates using a DNS TXT record (if you are
                      using CloudXNS for DNS). (default: False)
--dns-digitalocean    Obtain certificates using a DNS TXT record (if you are
                      using DigitalOcean for DNS). (default: False)
--dns-dnsimple        Obtain certificates using a DNS TXT record (if you are
                      using DNSimple for DNS). (default: False)
--dns-dnsmadeeasy     Obtain certificates using a DNS TXT record (if you
                      areusing DNS Made Easy for DNS). (default: False)
--dns-google          Obtain certificates using a DNS TXT record (if you are
                      using Google Cloud DNS). (default: False)
--dns-luadns          Obtain certificates using a DNS TXT record (if you are
                      using LuaDNS for DNS). (default: False)
--dns-nsone           Obtain certificates using a DNS TXT record (if you are
                      using NS1 for DNS). (default: False)
--dns-rfc2136         Obtain certificates using a DNS TXT record (if you are
                      using BIND for DNS). (default: False)
--dns-route53         Obtain certificates using a DNS TXT record (if you are
                      using Route53 for DNS). (default: False)

Véase el siguiente ejemplo de cómo funciona Amazon Route53:

# set AWS API credentials
export AWS_ACCESS_KEY_ID="1234567890"
export AWS_SECRET_ACCESS_KEY="ABCDEFGHIJKLMNOPQRSTUVWXYZ"

# create a certificate
certbot certonly --noninteractive --agree-tos -m webmaster@example.com \n
  --no-eff-email --dns-route53 --rsa-key-size 4096 \n 
  -d mail.example.com -d smtp.example.com -d imap.example.com

Como se puede ver en la última línea de mi ejemplo dado, Vamos a Cifrar soporta múltiples certificados de dominio. Si su servidor de correo escucha a varios dominios, usted tiene que ir de esta manera. SMTP o IMAP no admite SNI como HTTPS.

El segundo paso es enviar su correo desde el servidor web al servidor de correo. Como mejor práctica para cada servicio por separado un servidor Linux/Unix se utilizan locales de correo para muchos casos. Así que usted no debe quitar Postfix completo de su servidor web. Cambiar el Postfix de instalación de los denominados "satélite" de la instalación. Aquí su Postfix enviará correos a un servidor de retransmisión y proporciona SMTP sólo para los servicios locales (socket y/o localhost:25).

Si estás usando Debian o Ubuntu, puedes volver a configurar Postfix a través de:

dpkg-reconfigure postfix

En el satélite de instalación se le pedirá para un servidor de retransmisión de correo. Introduzca aquí el nombre de dominio de su nuevo servidor de correo (por ejemplo, mail.example.com).

En el servidor de correo de la instalación debe permitir a la dirección IP de su servidor web como fuente de confianza para la retransmisión de correo. Un buen método es usar la configuración de Postfix directiva permit_mynetworks.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: