informatique:serveur:postfix

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision		 Révision précédente
informatique:serveur:postfix [2023/12/29 17:05] – [Mise à jour du certificat] Cédric ABONNELinformatique:serveur:postfix [2023/12/29 18:29] (Version actuelle) – [Configurer Let's Encrypt pour le renouvellement automatique] Cédric ABONNEL
Ligne 279: Ligne 279:
  
  
-===== Mise à jour du certificat =====+===== Gestion des certificats =====
  
-On part du principe que : +Pour configurer **Postfix** et **Certbot** pour utiliser les certificats SSL/TLS de "smtp.monserveur.fr" avec **Let's Encrypt**, suivez ces étapes générales. Assurez-vous d'avoir les droits nécessaires sur le serveur et que vous êtes à l'aise avec l'édition de fichiers de configuration en ligne de commande.
-  le nom de domaine d'envoi des mails est ''smtp.monserveur.fr'' +
-  * le certificat de votre nom de domaine est géré par **Let's Encrypt** et est opérationnel +
-  * le renouvellement automatique opéré par **Certbot** utilise le protocole **ACME** et est opérationnel.+
  
-L'objectif est de configurer **Postfix** et **Certbot** pour utiliser les certificats du domaine.+==== Configurer Postfix pour utiliser SSL/TLS ====
  
-1. Se connecter sur le serveur avec le compte ''root''+1. **Accédez à la configuration de Postfix**: 
 +   * Connectez-vous à votre serveur en tant que sudouser. 
 +   * Ouvrez le fichier de configuration principal de Postfix avec un éditeur de texte, tel que ''nano'' ou ''vim''. Le fichier est généralement situé à ''/etc/postfix/main.cf''.
  
-3Rendre exécutable le script+2**Définissez les chemins des certificats**: 
 +   * Localisez ou ajoutez les lignes suivantes dans ''main.cf'' pour spécifier l'emplacement des fichiers de certificat et de clé privée (remplacez les chemins par les vôtres si nécessaire) : 
 +<code> 
 +smtpd_tls_cert_file = /etc/letsencrypt/live/smtp.monserveur.fr/fullchain.pem 
 +smtpd_tls_key_file = /etc/letsencrypt/live/smtp.monserveur.fr/privkey.pem 
 +</code> 
 +   * Activez l'utilisation de TLS en ajoutant ou en s'assurant que la ligne suivante est présente : 
 +<code> 
 +smtpd_use_tls = yes 
 +</code>
  
-  chown +x /root/scripts/update_smtpd_certificat.sh+3. **Redémarrez Postfix**: 
 +   * Sauvegardez vos modifications et fermez le fichier. 
 +   * Exécutez la commande ''sudo systemctl restart postfix'' pour appliquer les modifications.
  
-4. Programmer le script avec ''crontab''+==== Configurer Dovecot pour SSL/TLS ====
  
-{{  :informatique:pasted:20220720-234923.png}}+Si vous utilisez Dovecot comme serveur IMAP/POP3 :
  
-  crontab -e+1. Les fichiers de configuration de **Dovecot** se trouvent généralement dans ''/etc/dovecot/''. Le fichier principal de configuration est souvent nommé ''dovecot.conf'', et il peut inclure d'autres fichiers de configuration situés dans ''/etc/dovecot/conf.d/''
 + 
 +2. Dans les fichiers de configuration de **Dovecot**, vous devrez trouver et modifier les lignes qui définissent le chemin du certificat SSL et de la clé privée. Recherchez quelque chose comme ceci :
  
 <code> <code>
-0 0 * * * /root/scripts/update_smtpd_certificat.sh 2>&1+ssl_cert = </etc/letsencrypt/live/smtp.serveur.fr/fullchain.pem 
 +ssl_key = </etc/letsencrypt/live/smtp.serveur.fr/privkey.pem
 </code> </code>
  
-<WRAP clear/>+Pensez à désactiver la configuration présente dans ''/etc/dovecot/conf.d/10-ssl.conf''
 + 
 +3. **Redémarrez Dovecot** avec ''sudo systemctl restart dovecot''
 + 
 +4. Après le redémarrage, assurez-vous que tout fonctionne comme prévu. Vous pouvez vérifier que **Dovecot** écoute avec le nouveau certificat en vous connectant avec un client de messagerie ou en utilisant OpenSSL : 
 + 
 +<code> 
 +openssl s_client -connect smtp.serveur.fr:993 
 +</code> 
 +==== Configurer Let's Encrypt pour le renouvellement automatique ==== 
 + 
 +1. **Certbot** gère généralement les renouvellements automatiquement. Cependant, vous pouvez personnaliser ou ajouter des scripts de renouvellement dans le dossier de hooks de renouvellement. 
 + 
 +2. **Scripts de renewal-hooks**: 
 + 
 +  * Placez les scripts personnalisés dans ''/etc/letsencrypt/renewal-hooks/''. Vous pouvez avoir des scripts ''pre'', ''deploy'', et ''post'' pour s'exécuter avant, pendant, et après le renouvellement. 
 +  * Un script typique dans ''post'' pourrait redémarrer Postfix et Dovecot pour appliquer les nouveaux certificats. 
 + 
 +Voir les pages :  
 +  * [[informatique:serveur:postfix:Créer un script de hook Let's Encrypt pour Postfix]] 
 +  * [[informatique:serveur:dovecot:Créer un script de hook Let's Encrypt pour Dovecot]] 
 + 
 +Si vous avez deux scripts distincts, ''reload-dovecot.sh'' et ''reload-postfix.sh,'' et vous souhaitez exécuter les deux après le renouvellement de certificat **Let's Encrypt** par **Certbot**, vous pouvez configurer les hooks dans le fichier de configuration de renouvellement de **Certbot** ou les placer dans les répertoires de hook appropriés. 
 + 
 +Vous devriez ajouter des lignes pour post_hook dans la section ''[renewalparams]''. Votre fichier pourrait ressembler à ceci : 
 + 
 +<code> 
 +[renewalparams] 
 +post_hook = /etc/letsencrypt/renewal-hooks/post/reload-dovecot.sh && /etc/letsencrypt/renewal-hooks/post/reload-postfix.sh 
 +</code> 
 + 
 +3. **Tester le renouvellement**: 
 +   * Exécutez ''sudo certbot renew --dry-run'' pour tester le processus de renouvellement et s'assurer que tout fonctionne comme prévu. 
 + 
 +==== Vérification et maintenance ==== 
 + 
 +  * **Vérifiez les logs** de **Postfix** et **Dovecot** pour les erreurs liées aux certificats SSL/TLS. 
 +  * Assurez-vous que les certificats se renouvellent correctement en vérifiant les dates d'expiration et en observant le comportement du système lors des renouvellements planifiés.
  
 +==== Remarques ====
  
-5Vérifier le certificat+  * Faites toujours une copie de sauvegarde des fichiers de configuration avant de les modifier. 
 +  * Les chemins exacts et les commandes peuvent varier légèrement en fonction de votre distribution Linux et de la version de vos logiciels. 
 +  * Assurez-vous que les ports nécessaires sont ouverts sur votre pare-feu pour permettre les connexions TLS/SSL.
  
-  openssl x509 -text -in /etc/postfix/smtpd.cert+En suivant ces étapes, vous devriez être capable de configurer **Postfix** et **Dovecot** pour utiliser les certificats SSL/TLS avec **Let's Encrypt**, améliorant ainsi la sécurité de votre serveur de messagerie. Assurez-vous de tester votre configuration pour vérifier que tout fonctionne correctement avant de la mettre en production.
  
  
  • informatique/serveur/postfix.1703865945.txt.gz
  • Dernière modification : 2023/12/29 17:05
  • de Cédric ABONNEL