1.2.2. 在 Dovecot 服务器上配置 TLS 加密

Dovecot 提供一个安全的默认配置。例如，默认启用 TLS 通过网络来传输加密的凭证和数据。要在 Dovecot 服务器上配置 TLS，您只需设置证书和私钥文件的路径。另外，您可以通过生成并使用 Diffie-Hellman 参数来提高 TLS 连接的安全性，以提供完美的转发保密(PFS)。

先决条件

Dovecot 已安装。
以下文件已复制到服务器上列出的位置：
- 服务器证书：/etc/pki/dovecot/certs/server.example.com.crt
- 私钥：/etc/pki/dovecot/private/server.example.com.key
- 证书颁发机构(CA)证书：/etc/pki/dovecot/certs/ca.crt
服务器证书 Subject DN 字段中的主机名与服务器的完全限定域名(FQDN)匹配。
如果启用了 FIPS 模式，客户端必须支持 Extended Master Secret (EMS)扩展或使用 TLS 1.3。没有 EMS 的 TLS 1.2 连接会失败。如需更多信息，请参阅红帽知识库解决方案强制实施 TLS 扩展"Extended Master Secret" 。

流程

对私钥文件设置安全权限：

# chown root:root /etc/pki/dovecot/private/server.example.com.key
# chmod 600 /etc/pki/dovecot/private/server.example.com.key

使用 Diffie-Hellman 参数生成文件：
```
# openssl dhparam -out /etc/dovecot/dh.pem 4096
```
根据服务器上的硬件和熵，生成 4096 位的 Diffie-Hellman 参数可能需要几分钟。
在 /etc/dovecot/conf.d/10-ssl.conf 文件中设置证书和私钥文件的路径：
1. 更新 ssl_cert 和 ssl_key 参数，并将其设置为使用服务器的证书和私钥的路径：
  ssl_cert = </etc/pki/dovecot/certs/server.example.com.crt ssl_key = </etc/pki/dovecot/private/server.example.com.key
2. 取消 ssl_ca 参数的注释，并将其设置为使用 CA 证书的路径：
  ssl_ca = </etc/pki/dovecot/certs/ca.crt
3. 取消 ssl_dh 参数的注释，并将其设置为使用 Diffie-Hellman 参数文件的路径：
  ssl_dh = </etc/dovecot/dh.pem
重要
为确保 Dovecot 从文件中读取参数的值，该路径必须以 < 字符开头。

后续步骤