Démarrons en créant un certificat simple sans installation.
Pour cela lancer la commande suivante en suivant les instructions :
letsencrypt certonly -d votredomaine.fr --manual
Les certificats sont alors créé dans le répertoire suivant :
/etc/letsencrypt/live/votredomaine.fr
Afin d’automatiser le renouvellement des certificats ajouter une tâche cron dans le fichier /etc/crontab :
30 2 * * 1 root /bin/letsencrypt renew
Maintenant que nous avons nos certificats il faut modifier les configurations de nos logiciels afin de les prendre en compte.
-
Dovecot
ajouter ou modifier les informations suivantes dans le fichier /etc/dovecot/conf.d/10-ssl.conf :
ssl = yes ssl_cert = </etc/letsencrypt/live/votredomaine.fr/fullchain.pem ssl_key = </etc/letsencrypt/live/votredomaine.fr/privkey.pem
Vérifier aussi dans le fichier /etc/dovecot/conf.d/10-master.conf que le ssl est bien activé sur les services intéressés :
service imap-login {
inet_listener imap {
}
inet_listener imaps {
ssl = yes
}
Recharger la configuration du service :
service dovecot reload
Vous pouvez vérifier que le port (993) souhaité est bien en écoute avec la commande :
netstat -tpln
-
Postfix
ajouter ou modifier les informations suivantes dans le fichier /etc/postfix/main.cf :
smtpd_use_tls=yes smtp_tls_CAfile = /etc/letsencrypt/live/votredomaine.fr/chain.pem smtpd_tls_cert_file = /etc/letsencrypt/live/votredomaine.fr/cert.pem smtpd_tls_key_file = /etc/letsencrypt/live/votredomaine.fr/privkey.pem
ajouter ou modifier les informations suivantes dans le fichier /etc/postfix/master.cf :
smtps inet n - - - - smtpd
Recharger la configuration du service :
service postfix reload
Vous pouvez vérifier que le port (465) souhaité est bien en écoute avec la commande :
netstat -tpln
Et voila votre service mail chiffre les informations entre le client et le serveur.
Un petit point d’attention sur le SMTPS, veiller à laisser le port SMTP ouvert et utilisable afin de ne pas empêcher la réception de mail de certain serveur.