基于操作系统的证书（ca-bundle.crt）使用 smtp_tls_CAfile 可以正常工作吗答案

【问题标题】：does os based certificates (ca-bundle.crt) work fine using smtp_tls_CAfile基于操作系统的证书（ca-bundle.crt）使用 smtp_tls_CAfile 可以正常工作吗
【发布时间】：2019-12-06 02:06:51
【问题描述】：

是否强制使用：

smtp_tls_CAfile = /etc/ssl/certs/ca-bundle.crt

虽然我也在使用：

smtp_tls_cert_file=/etc/letsencrypt/live/videoshark.io/fullchain.pem
smtp_tls_key_file=/etc/letsencrypt/live/videoshark.io/privkey.pem

我的意思是两者有什么区别？

这是我在运行时看到的错误：tail /var/log/maillog postfix/smtpd[1419]：致命：打开锁定文件 pid/inet.smtp：无法打开文件：权限被拒绝

我只想使用 SSL/TLS 为后缀配置 gmail 中继服务感谢您的帮助！

【问题讨论】：

标签： ssl smtp certificate local

【解决方案1】：

smtp_tls_cert_file 和 smtp_tls_key_file 用于指定本地证书，即在 TLS 握手中提供给 SMTP 客户端的证书。因此，如果您想接受 TLS 流量，则需要这样做。

smtp_tls_CAfile 用于验证 Postfix 在与其他邮件服务器通信时获得的证书。因此，如果您希望它能够在向其他服务器发送邮件时使用 TLS，则需要这样做。

【讨论】：

所以当我想使用 gmail smtp 中继的后缀通过 gmail 发送消息时，我只能使用 smtp_tls_CAfile 并且另一件事是在我在 main.cf 中使用证书文件之前需要在证书文件中进行任何更改?
@Rehan: "当我想使用 gmail smtp 中继的 postfix 来通过 gmail 发送消息时，我只能使用 smtp_tls_CAfile" - 正确，如果您的 Postfix 不应该接受通过 TLS 发送邮件，那么您不需要设置证书和密钥，CA 就足够了。 “在我在 main.cf 中使用证书文件之前，是否需要对证书文件进行任何更改？” - 我不知道你的意思是什么，但它看起来像一个不同的问题，因此应该作为一个问题来问新问题，不在评论中。