Blog du grouik

Oui, les certificats pour les serveurs web sont les mêmes que pour les serveurs de messagerie.

Dans les fichiers de configuration de Dovecot et de postfix, Quels fichiers générés par Lets Encrypt faut-il renseigner?

Créer la clé et le certificat avec lets encrypt.

ce n'est pas vraiment l'objet de ce billet, si vous avez déjà créé vos certificats, passez au paragraphe suivant.

cd ~
#dl lets encript
git clone https://github.com/letsencrypt/letsencrypt
cd letsencrypt
#Stopper l'éventuel service qui utilise le port 80 (dans mon cas c'est apache)
#car letsencrypt en auraz besoin quelques secondes.
service apache2 stop
#générer le certificat
#Je ne mets pas le mode auto car ma configuration d'apache est un peu fouillie
# et lets encrypt n'arrivera pas à générer la configuration
# du coup je lui demande juste les certificats et le clefs:
# Adaptez en fonction de vos besoins
./letsencrypt-auto certonly --standalone --email email@domaine.fr -d domaine1.fr -d machine.domaine1.fr -d machine.domaine2.fr 
#restart apache
service apache2 start

Postfix

Ma partie certificats tls dans le /etc/postfix/main.cf est la suivante:

#tls
smtpd_tls_key_file = /etc/letsencrypt/live/tinad.fr/privkey.pem
smtpd_tls_cert_file = /etc/letsencrypt/live/tinad.fr/cert.pem
smtpd_tls_CAfile = /etc/letsencrypt/live/tinad.fr/chain.pem

Évidemment vous remplacez tinad.fr par le nom du répertoire que vous trouvez dans /etc/letsencrypt/live

Dovecot

Pour dovecot (serveur IMAP)

ssl_protocols = !SSLv2 !SSLv3
ssl_ca = </etc/letsencrypt/live/tinad.fr/chain.pem
ssl_cert = </etc/letsencrypt/live/tinad.fr/cert.pem
ssl_key = </etc/letsencrypt/live/tinad.fr/privkey.pem
ssl_verify_client_cert = yes
ssl = required