Lets encrypt pour sécuriser un serveur de messagerie Postfix et dovecot

postfix-mail-server.png

Oui, les certificats pour les serveurs web sont les mêmes que pour les serveurs de messagerie.

Dans les fichiers de configuration de Dovecot et de postfix, Quels fichiers générés par Lets Encrypt faut-il renseigner?

Créer la clé et le certificat avec lets encrypt.

ce n’est pas vraiment l’objet de ce billet, si vous avez déjà créé vos certificats, passez au paragraphe suivant.

cd ~
#dl lets encript
git clone https://github.com/letsencrypt/letsencrypt
cd letsencrypt
#Stopper l'éventuel service qui utilise le port 80 (dans mon cas c'est apache)
#car letsencrypt en auraz besoin quelques secondes.
service apache2 stop
#générer le certificat
#Je ne mets pas le mode auto car ma configuration d'apache est un peu fouillie
# et lets encrypt n'arrivera pas à générer la configuration
# du coup je lui demande juste les certificats et le clefs:
# Adaptez en fonction de vos besoins
./letsencrypt-auto certonly --standalone --email email@domaine.fr -d domaine1.fr -d machine.domaine1.fr -d machine.domaine2.fr 
#restart apache
service apache2 start

Postfix

Ma partie certificats tls dans le /etc/postfix/main.cf est la suivante:

#tls
smtpd_tls_key_file = /etc/letsencrypt/live/tinad.fr/privkey.pem
smtpd_tls_cert_file = /etc/letsencrypt/live/tinad.fr/cert.pem
smtpd_tls_CAfile = /etc/letsencrypt/live/tinad.fr/chain.pem

Évidemment vous remplacez tinad.fr par le nom du répertoire que vous trouvez dans /etc/letsencrypt/live

Dovecot

Pour dovecot (serveur IMAP)

ssl_protocols = !SSLv2 !SSLv3
ssl_ca = </etc/letsencrypt/live/tinad.fr/chain.pem
ssl_cert = </etc/letsencrypt/live/tinad.fr/cert.pem
ssl_key = </etc/letsencrypt/live/tinad.fr/privkey.pem
ssl_verify_client_cert = yes
ssl = required

Commentaires

1. Le lundi, mai 30 2016, 23:46 par SEO Internet

Bonjour ;)

Merci pour ton billet est ce que tu pourrais me dire lorsque j'ai plusieurs noms de domaines comment je fais ?

Chris

2. Le lundi, juin 6 2016, 17:22 par gnieark

Hello Chris,

Pas de wildcard dans letsEncrypt, mais tu peux mettre beaucoup de "noms alternatifs" dans le certificat. parametre -d cf la commande /letsencrypt-auto dans l'article ci dessus.

Du coup si ton serveur de messagerie gere plusieurs domaines le même certificat fonctionne pour tous (perso, je l'ai géré comme ça)

3. Le vendredi, décembre 29 2017, 22:20 par Postfix Expert

Salut,

Une petite question peut-être bête mais comment feras tu au bout de 3 mois ? Tu dois refaire la manipulation à chaque fois ?

( vu que les certificats SSL Let's Encrypt se renouvellent tous les 3 mois )

Cdt
Laurent

4. Le dimanche, décembre 31 2017, 15:48 par gnieark

Hello Laurent, en effet, je renouvelle avant les trois mois à chaque fois. La manip pour renouveler est cependant moins lourde. (le nouveau couple certificat/clef) garde le même chemin, donc la configuration dovecot et postfix n'est pas à reprendre. Et même si je ne l'ai pas fait, certbot est configurable pour renouvelé tout seul comme un grand les certificats de manière planifiée.

Ajouter un commentaire

Les commentaires peuvent être formatés en utilisant une syntaxe wiki simplifiée.

La discussion continue ailleurs

URL de rétrolien : https://blog-du-grouik.tinad.fr/trackback/916

Fil des commentaires de ce billet

Page top