(-)

Certificat SSL sur serveur mail Postfix

Publié VFSALYV
  • https://admin-serv.net/blog/614/courier-pop-ssl-courier-imap-ssl-installer-un-certificat-ssl-cacert/
  • http://wiki.cacert.org/SimpleApacheCert   => pour Apache

 

  • https://www.cacert.org/
  • tmp_cacert@blue-bears.com

Nb: YS => Postfix la Dir des certificat SSL est :

# TLS parameters
smtpd_tls_cert_file = /etc/postfix/ssl/smtpd.crt
smtpd_tls_key_file = /etc/postfix/ssl/smtpd.key

serveur.

cd /etc/courier/
# Creez un dossier nommé ssl
mkdir ssl
cd ssl/
# Générez d'abord votre fichier de key
openssl genrsa -des3 -out courier.key 2048
# Entrez une passphrase et retenez-la.
# Générez ensuite votre CSR
openssl req -new -key courier.key -out courier.csr

# pas mal de bla bla => cela doit s'automatisé par un script.
# YS => attention la rubrique MyName doit correspondre à un serveur identifié sur CAcert
# YS => ici "blue-bears.com"

Donnez ensuite à CACert le contenu du fichier CSR.

#=> Copie coller le contenu du fichier courrier.csr avec les balises BEGIN & END

—–BEGIN CERTIFICATE REQUEST—–
MIIBcjCB3AIBADAzMQswCQYDVQQGEwJGUjETMBEGA1UECBMKUmhvbmUgQWxwZTEP
MA0GA1UEChMGUGhwbmV0MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDJmk64
……
—–END CERTIFICATE REQUEST—–

CACert va alors afficher le fichier CRT correspondant => Copier-Coller dans un fichier courier.crt

Le certificat est alors activé chez CACert => le certificat a une durée de validité réduite => refaire le truc tous les 6 mois (?? !!)

Nous allons en profiter pour supprimer la passphrase du fichier de key qui vous sera demandé à chaque redémarrage du démon.

# Suppression de la passphrase du fichier key
openssl rsa -in courier.key -out courier.deprotected.key

Entrez votre passphrase et le tour est joué. Maintenant nous allons généré le fichier pem.

cat courier.crt courier.deprotected.key > courier.pem
# Génération du dh
openssl gendh >> courier.pem

Voilà, votre certificat est maintenant prêt à être utilisé :

A ce stade 5 fichiers :

  • Fichier .key
  • Fichier déprotégé.key
  • Fichier  .csr => qui transformé devient
  • Fichier .crt qui combiné avec le fichier déprotégé.key devient
  • fichier .pem

Postfix utilise les fichiers .key & .crt séparés

#Copie => remplacer

cp courier.crt /etc/postfix/ssl/smtpd.crt
cp courier.deprotected.key /etc/postfix/ssl/smtpd.key

#Copie => remplacer
cp courier.pem /etc/courier/imapd.pem
cp courier.pem /etc/courier/pop3d.pem

Il ne vous reste plus qu’à relancer les services et de vérifier que le tout fonctionne correctement dans votre client mail.

# Redémarrage de Pop3
/etc/init.d/courier-pop-ssl restart
# => Stopping Courier POP3-SSL server: pop3d-ssl.
# => Starting Courier POP3-SSL server: pop3d-ssl.
# Redémarrage de Imap
/etc/init.d/courier-imap-ssl restart
# => Stopping Courier IMAP-SSL server: imapd-ssl.
# => Starting Courier IMAP-SSL server: imapd-ssl.