Как обновить самоподписанный сертификат с истекшим сроком (SSL/TLS, для Postfix)?

Question

[V A]

для Postfix (тип SSL/TLS, зашифрованный пароль) закончился сертификат самоподписанный, я так понял в конфигах openssl.cnf можно просто увеличтить срок действия, и заново переподписать нынешние сертификаты?

Answer 1

[SergeySL]

Срок действия задается при создании сертификата. Не важно, через командную строку или в файле openssl.cnf. Сертификаты придется пересоздать/переподписать.

Comments

[V A]

Каким способом можно пересоздать?

[SergeySL]

openssl req -new -x509 -out smtpd.pem -keyout smtpd.pem -days 3650 (10 лет)

[V A]

"smtpd.pem" я так понял, это новый сертификат?

Может подскажете (если не затруднительно), хватит только одного файла .pem?
В main.cf сейчас такие настройки (tls), как видите, тут и преобразованый .crt и .key

broken_sasl_auth_clients = no
smtpd_tls_auth_only = no
smtp_use_tls = yes
smtpd_use_tls = yes
smtp_tls_note_starttls_offer = yes
tls_random_source = dev:/dev/urandom
#smtpd_tls_key_file = /etc/postfix/sslsmtpd.key
#smtpd_tls_cert_file = /etc/postfix/sslsmtpd.crt

smtpd_tls_CAfile = /etc/postfix/mfscert.pem
smtp_tls_CAfile = /etc/postfix/mfscert.pem

smtpd_tls_key_file = /etc/postfix/mfs.ru.key
smtpd_tls_cert_file = /etc/postfix/mfs.ru.crt

smtpd_tls_received_header = yes
smtpd_tls_loglevel = 1

[SergeySL]

Подскажу. Pem позволяет хранить и сертификат и ключ в одном файле, поэтому хватит. Можно как у Вас в виде двух файлов openssl req -new -x509 -out smtpd.crt -keyout smtpd.key -days 3650

[V A]

Cпасибо)
т.е я пишу так, и забываю об этом на год?
smtpd_tls_CAfile = /etc/postfix/mfscert.pem - эту строки удаляю
smtp_tls_CAfile = /etc/postfix/mfscert.pem - и эту строки удаляю
- пишу
smtpd_tls_key_file = /etc/postfix/newsslcert.pem
smtpd_tls_cert_file = /etc/postfix/newsslcert.pem

это вариант без создания .crt и .key

[SergeySL]

Пишете:
smtpd_tls_key_file = /etc/postfix/smtpd.pem
smtpd_tls_cert_file = /etc/postfix/smtpd.pem
smtpd_tls_CAfile = /etc/postfix/smtpd.pem
И забываете на время действия сертификата (я обычно ставлю 3650 дней, перегенерировать раньше никто не запрещает).

[SergeySL]

Что там с сертификатом?

[V A]

Сергей: Привет, я создал сертификат, пока не подключил его к postfix. Можно ли как-нибудь сделать это не на живую? Сейчас самый разгар работы просто

[SergeySL]

V A: если postfix reload долго, то нельзя :)

[V A]

Сергей: спасибо, если вм настройках dovecot укажу эти же сертификаты, я так понял заработает?

[SergeySL]

V A: естественно :)

Answer 2

[Lindon_cano]

А зачем использовать самоподписанный при наличии Let's Encrypt и WoSign(StartSSL не рассматриваем, как ненадежный, после их цирка с выдачей любому человеку сертификатов на почти любой домен)?

Comments

[SergeySL]

Let's Encrypt выдает сертификаты на 10 лет, например?

[Lindon_cano]

Сергей: обновление по крону откройте для себя. А самоподписанным нет доверия. И логично сбрасывать соединение, если видишь самописку.

[SergeySL]

Lindon_cano: безопасность по крону? Простите, я против (субъективно). А по поводу доверия, если я сам сгенерировал и установил сертификат, чем он хуже бесплатного сгенерированного кем-то еще? Кроме этого, какой размер ключа у этих бесплатных сертификатов, обновляемых по крону?
P.S.: я не против Let's Encrypt и StartCom, но автор просил самоподписной.

Answer 3

[CityCat4]

Сертификат нельзя переподписать, продлить или вообще поменять в нем что-либо - вся информация в нем неизменная. Если срок действия закончился - сертификат просто выпускается повторно, поскольку он самоподписанный - с этим никаких проблем быть не должно.