manual de encriptacion con tls
TRANSCRIPT
MANUAL DE ENCRIPTACION CON TLSJuan Camilo Rivera Al.
2023
2
2023
- 2
Mientras que la sección de SASL maneja la autentificación (que determina quien tiene derecho a enviar correos). Esta sección tratara la protección de contraseñas, para asegurar que los intrusos no pueden leer las contraseñas secretas de los usuarios. Para proteger la autentificación, implementaremos con Postfix TLS (Transport layer Security), un protocolo mejor que el SSL (Serure Sokets Layer)
Para ello se generaran dos certificados (*.crt) y dos claves de encriptación (*.key). Necesita una clave primaria que nadie debe conocer y una clave pública (que permitirá a los clientes enviarle credenciales seguras).
1) Empezamos por crear un directorio para los certificados SSL y entrando en el:
MANUAL DE ENCRIPTACION CON TLS
3
2023
- 3
2) Ahora creamos la clave primaria con la siguiente instrucción, en la que se nos pedirá que ingresemos una contraseña para poder generarla:
openssl genrsa -des3 -rand /etc/hosts -out smtpd.key 1024
Enter pass phrase for smtpd.key: contraseñaVerifying - Enter pass phrase for smtpd.key: contraseña
Con lo cual se ha creado el archivo: smtpd.key
3) Cambia los permisos del archivo resultante que contiene la clave OpenSSL del servidor (es decir la clave primaria) para que sea accesible solo por root.
4
2023
- 4
4) Ahora generaremos con la clave primaria, un certificado (smtpd.csr), con lo cual tendremos que introducir la contraseña que introducimos en la generación del archivo smtpd.key y responder algunas preguntas, para la generación del certificado:
openssl req -new -key smtpd.key -out smtpd.csr
Enter pass phrase for smtpd.key: contraseña
Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: lo dejo en blancoAn optional company name []: lo dejo en blanco
Con lo cual se ha creado el archivo: smtpd.csr
5
2023
- 5
5) A continuación generamos el archivo de certificado ejecutando:
openssl x509 -req -days 36500 -in smtpd.csr -signkey smtpd.key -out smtpd.crt
Enter pass phrase for smtpd.key: contraseña (Del Paso 2)
Con lo cual se ha creado el archivo: smtpd.crt
El archivo de certificado (smtpd.crt) puede ser legible por cualquiera, ya que no contiene nada sensible, de hecho es enviado a cada cliente en la conexión SSL para que pueda cifrar la información.
6) A continuación generamos una nueva clave primaria, par luego cambiarla por la clave existente (smtpd.key) ejecutando:
openssl rsa -in smtpd.key -out smtpd.key.unencrypted Enter pass phrase for smtpd.key: contraseña
Con lo cual se ha creado el archivo: smtpd.key.unencrypted
7) Procedemos a remplazar la clave existente (smtpd.key) por la nueva (smtpd.key.unencrypted):
mv -f smtpd.key.unencrypted smtpd.key
6
2023
- 6
8) Cualquiera que contenga este archivo podrá descifrar los mensajes, por eso es que procedemos a cambiarle los permisos:
chmod 600 smtpd.key
9) Con lo cual ya contamos con una clave (smtpd.key) más fuerte con la que podemos proceder a generar los certificados, con el siguiente comando:
openssl req -new -x509 -extensions v3_ca -keyout cakey.pem -out cacert.pem -days 36500
Enter PEM pass phrase: otra-contraseñaVerifying - Enter PEM pass phrase: otra-contraseña
Con lo cual se han generado los siguientes archivos: cacert.pem y cakey.pem
7
2023
- 7
10) Para indicarle a Postfix las claves y certificados editamos el archivo /etc/postfix/main.cf y colocamos al fina de este lo siguiente:smtpd_tls_auth_only = nosmtp_use_tls = yessmtpd_use_tls = yessmtp_tls_note_starttls_offer = yessmtpd_tls_key_file = /etc/postfix/ssl/smtpd.keysmtpd_tls_cert_file = /etc/postfix/ssl/smtpd.crtsmtpd_tls_CAfile =/etc/postfix/ssl/cacert.pemsmtpd_tls_loglevel = 1smtpd_tls_received_header = yessmtpd_tls_session_cache_timeout = 3600stls_random_source = dev:/dev/urandom
8
2023
- 8
11) Por último debemos reiniciar Postfix para que los cambios tomen efecto: