La idea es implementar TLS en el correo y tambien si se puede usar el mismo certificado utilizar un certificado wildcard del estilo *.fenf.edu.uy Supongo la petición de esto tiene que pasar por consejo ; así que a escribir rápido porque el miércoles debería entrar y hablar con la decana para acelerar el proceso de adquisición.
Cosa importante! Uruguay tiene una unidad certificadora NACIONAL que esta implementada por la AGESIC, esta a su ves tiene certificadores intermedios, por lo que EN TEORÍA lo correcto sería utilizar esto (osea... estamos en Uruguay) SIN EMBARGO!!! Y UN SIN EMBARGO GRANDE!!! El certificado de AGESIC no esta en todos los exploradores... Osea hablando mal y pronto no nos sirve. Dejo enlace a la UCE que se genero con la Ley 18.600 Documento electrónico y Firma Electrónica http://uce.gub.uy/acrn Una de las entidades certificadoras intermedias es El Correo y Abitab http://www.correo.com.uy/sel/index.asp?pagVal=202 Es mas!!! mirando la pagina web de correo.com.uy utiliza un certificado firmado por Correo CA (que no esta firmado por el certificado root uruguayo) Y ademas este certificado Correo CA NO ESTA EN LOS EXPLORADORES (osea me salta sitio no confiable) ; por lo que quien es el cert root de los certificados que vende el correo uruguayo??? Es mas!!! la pagina uce.bug.uy la https esta mal configurada! utiliza el certificado del dominio *.agesic.bug.uy !!! Y para colmo el certificado de agesic esta firmado por Go Daddy Certificate Co. ergo NO esta firmado por el certificado uruguayo en ningún sentido! Viendo eso... descartaría la compra del certificado al correo uruguayo ; o bien a abitab ; Aunque no estaría nada mal llamar para preguntar y evacuar dudas...
Agrego 3 horas de investigación que me llevo mas o menos.... Dejo el link abajo de implemetacion de SSL (TLS) en postfix. PD: Ya tenemos SSL pero con un cert auto-firmado... http://www.postfix.org/TLS_README.html
Hagamos el planteo. No va a entrar para este miercoles pues el orden del día se arma hoy, pero si esperemos que para el próximo. Yo me inclino por godaddy. Por un varias cosas, confiabilidad, soporte, etc. pego link de precios: https://www.godaddy.com/es/web-security/ssl-certificate Y claramente debe ser un wildcard si.
Se compró por parte de facultad un wildcard *.fenf.edu.uy en godaddy. Se está implementando. Los archivos .key y .csr están guardados en naso.
Se le pidió a SeCIU que agregara un registro TXT para verificar que teníamos posesión del dominio. SeCIU agrego ese registro Se obtuvo el crt desde godaddy ; Se bajo el CRT de *.fenf.edu.uy ; el CRT de las CA intermedias. Se instalo el CRT en /etc/postfix/ Se genero el certificado como la concatenación del certificado nuestro mas el certificado intermedio. # cat fenf.edu.uy.crt intermedios.crt > mail.fenf.edu.uy.crt # se modifica configuración de PostFIX /etc/postfix/main.cf smtpd_tls_cert_file = /etc/postfix/mail.fenf.edu.uy.pem smtpd_tls_key_file = /etc/postfix/fenf.edu.uy.key se prueba desde afuera usando el comando SSL # openssl s_client -connect mail.example.com:25 -starttls smtp El comando da OK! Instalado SSL / TLS en servidor de correo SMTP A su ves también se instala el certificado tambien en Roundcube ( ergo apache2 ) LISTO! CERRADO!!