informatique:serveur:postfix

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision		 Révision précédente
informatique:serveur:postfix [2023/12/29 17:59] – [Mise à jour du certificat] Cédric ABONNELinformatique:serveur:postfix [2023/12/29 18:29] (Version actuelle) – [Configurer Let's Encrypt pour le renouvellement automatique] Cédric ABONNEL
Ligne 279: Ligne 279:
  
  
-===== Mise à jour du certificat =====+===== Gestion des certificats =====
  
 Pour configurer **Postfix** et **Certbot** pour utiliser les certificats SSL/TLS de "smtp.monserveur.fr" avec **Let's Encrypt**, suivez ces étapes générales. Assurez-vous d'avoir les droits nécessaires sur le serveur et que vous êtes à l'aise avec l'édition de fichiers de configuration en ligne de commande. Pour configurer **Postfix** et **Certbot** pour utiliser les certificats SSL/TLS de "smtp.monserveur.fr" avec **Let's Encrypt**, suivez ces étapes générales. Assurez-vous d'avoir les droits nécessaires sur le serveur et que vous êtes à l'aise avec l'édition de fichiers de configuration en ligne de commande.
  
-==== Étape 1: Configurer Postfix pour utiliser SSL/TLS ====+==== Configurer Postfix pour utiliser SSL/TLS ====
  
 1. **Accédez à la configuration de Postfix**: 1. **Accédez à la configuration de Postfix**:
-    - Connectez-vous à votre serveur en tant que sudouser. +   Connectez-vous à votre serveur en tant que sudouser. 
-    Ouvrez le fichier de configuration principal de Postfix avec un éditeur de texte, tel que ''nano'' ou ''vim''. Le fichier est généralement situé à ''/etc/postfix/main.cf''.+   * Ouvrez le fichier de configuration principal de Postfix avec un éditeur de texte, tel que ''nano'' ou ''vim''. Le fichier est généralement situé à ''/etc/postfix/main.cf''.
  
 2. **Définissez les chemins des certificats**: 2. **Définissez les chemins des certificats**:
-    - Localisez ou ajoutez les lignes suivantes dans ''main.cf'' pour spécifier l'emplacement des fichiers de certificat et de clé privée (remplacez les chemins par les vôtres si nécessaire) : +   Localisez ou ajoutez les lignes suivantes dans ''main.cf'' pour spécifier l'emplacement des fichiers de certificat et de clé privée (remplacez les chemins par les vôtres si nécessaire) : 
-      <code> +<code> 
-      smtpd_tls_cert_file = /etc/letsencrypt/live/smtp.monserveur.fr/fullchain.pem +smtpd_tls_cert_file = /etc/letsencrypt/live/smtp.monserveur.fr/fullchain.pem 
-      smtpd_tls_key_file = /etc/letsencrypt/live/smtp.monserveur.fr/privkey.pem +smtpd_tls_key_file = /etc/letsencrypt/live/smtp.monserveur.fr/privkey.pem 
-      </code> +</code> 
-    Activez l'utilisation de TLS en ajoutant ou en s'assurant que la ligne suivante est présente : +   * Activez l'utilisation de TLS en ajoutant ou en s'assurant que la ligne suivante est présente : 
-      <code> +<code> 
-      smtpd_use_tls = yes +smtpd_use_tls = yes 
-      </code>+</code>
  
 3. **Redémarrez Postfix**: 3. **Redémarrez Postfix**:
-    - Sauvegardez vos modifications et fermez le fichier. +   Sauvegardez vos modifications et fermez le fichier. 
-    Exécutez la commande ''sudo systemctl restart postfix'' pour appliquer les modifications.+   * Exécutez la commande ''sudo systemctl restart postfix'' pour appliquer les modifications.
  
-==== Étape 2: Configurer Dovecot pour SSL/TLS (si nécessaire) ====+==== Configurer Dovecot pour SSL/TLS ====
  
 Si vous utilisez Dovecot comme serveur IMAP/POP3 : Si vous utilisez Dovecot comme serveur IMAP/POP3 :
  
-1. **Éditez le fichier de configuration Dovecot** situé généralement à ''/etc/dovecot/conf.d/10-ssl.conf''+1. Les fichiers de configuration de **Dovecot** se trouvent généralement dans ''/etc/dovecot/''. Le fichier principal de configuration est souvent nommé ''dovecot.conf'', et il peut inclure d'autres fichiers de configuration situés dans ''/etc/dovecot/conf.d/''
-2. Définissez les chemins vers les certificats SSL, similaires à ceux de Postfix.+ 
 +2. Dans les fichiers de configuration de **Dovecot**, vous devrez trouver et modifier les lignes qui définissent le chemin du certificat SSL et de la clé privée. Recherchez quelque chose comme ceci : 
 + 
 +<code> 
 +ssl_cert = </etc/letsencrypt/live/smtp.serveur.fr/fullchain.pem 
 +ssl_key = </etc/letsencrypt/live/smtp.serveur.fr/privkey.pem 
 +</code> 
 + 
 +Pensez à désactiver la configuration présente dans ''/etc/dovecot/conf.d/10-ssl.conf''
 3. **Redémarrez Dovecot** avec ''sudo systemctl restart dovecot''. 3. **Redémarrez Dovecot** avec ''sudo systemctl restart dovecot''.
  
-==== Étape 3: Configurer Let's Encrypt pour le renouvellement automatique ====+4. Après le redémarrage, assurez-vous que tout fonctionne comme prévu. Vous pouvez vérifier que **Dovecot** écoute avec le nouveau certificat en vous connectant avec un client de messagerie ou en utilisant OpenSSL : 
 + 
 +<code> 
 +openssl s_client -connect smtp.serveur.fr:993 
 +</code> 
 +==== Configurer Let's Encrypt pour le renouvellement automatique ====
  
 1. **Certbot** gère généralement les renouvellements automatiquement. Cependant, vous pouvez personnaliser ou ajouter des scripts de renouvellement dans le dossier de hooks de renouvellement. 1. **Certbot** gère généralement les renouvellements automatiquement. Cependant, vous pouvez personnaliser ou ajouter des scripts de renouvellement dans le dossier de hooks de renouvellement.
  
 2. **Scripts de renewal-hooks**: 2. **Scripts de renewal-hooks**:
-   Placez les scripts personnalisés dans ''/etc/letsencrypt/renewal-hooks/''. Vous pouvez avoir des scripts ''pre'', ''deploy'', et ''post'' pour s'exécuter avant, pendant, et après le renouvellement. + 
-   - Un script typique dans ''post'' pourrait redémarrer Postfix et Dovecot pour appliquer les nouveaux certificats.+  * Placez les scripts personnalisés dans ''/etc/letsencrypt/renewal-hooks/''. Vous pouvez avoir des scripts ''pre'', ''deploy'', et ''post'' pour s'exécuter avant, pendant, et après le renouvellement. 
 +  Un script typique dans ''post'' pourrait redémarrer Postfix et Dovecot pour appliquer les nouveaux certificats. 
 + 
 +Voir les pages :  
 +  * [[informatique:serveur:postfix:Créer un script de hook Let's Encrypt pour Postfix]] 
 +  * [[informatique:serveur:dovecot:Créer un script de hook Let's Encrypt pour Dovecot]] 
 + 
 +Si vous avez deux scripts distincts, ''reload-dovecot.sh'' et ''reload-postfix.sh,'' et vous souhaitez exécuter les deux après le renouvellement de certificat **Let's Encrypt** par **Certbot**, vous pouvez configurer les hooks dans le fichier de configuration de renouvellement de **Certbot** ou les placer dans les répertoires de hook appropriés. 
 + 
 +Vous devriez ajouter des lignes pour post_hook dans la section ''[renewalparams]''. Votre fichier pourrait ressembler à ceci : 
 + 
 +<code> 
 +[renewalparams] 
 +post_hook = /etc/letsencrypt/renewal-hooks/post/reload-dovecot.sh && /etc/letsencrypt/renewal-hooks/post/reload-postfix.sh 
 +</code>
  
 3. **Tester le renouvellement**: 3. **Tester le renouvellement**:
-    - Exécutez ''sudo certbot renew --dry-run'' pour tester le processus de renouvellement et s'assurer que tout fonctionne comme prévu.+   Exécutez ''sudo certbot renew --dry-run'' pour tester le processus de renouvellement et s'assurer que tout fonctionne comme prévu.
  
-==== Étape 4: Vérification et maintenance ====+==== Vérification et maintenance ====
  
-**Vérifiez les logs** de **Postfix** et **Dovecot** pour les erreurs liées aux certificats SSL/TLS. +  * **Vérifiez les logs** de **Postfix** et **Dovecot** pour les erreurs liées aux certificats SSL/TLS. 
-Assurez-vous que les certificats se renouvellent correctement en vérifiant les dates d'expiration et en observant le comportement du système lors des renouvellements planifiés.+  Assurez-vous que les certificats se renouvellent correctement en vérifiant les dates d'expiration et en observant le comportement du système lors des renouvellements planifiés.
  
-### Remarques+==== Remarques ====
  
-Faites toujours une copie de sauvegarde des fichiers de configuration avant de les modifier. +  * Faites toujours une copie de sauvegarde des fichiers de configuration avant de les modifier. 
-Les chemins exacts et les commandes peuvent varier légèrement en fonction de votre distribution Linux et de la version de vos logiciels. +  Les chemins exacts et les commandes peuvent varier légèrement en fonction de votre distribution Linux et de la version de vos logiciels. 
-Assurez-vous que les ports nécessaires sont ouverts sur votre pare-feu pour permettre les connexions TLS/SSL.+  Assurez-vous que les ports nécessaires sont ouverts sur votre pare-feu pour permettre les connexions TLS/SSL.
  
 En suivant ces étapes, vous devriez être capable de configurer **Postfix** et **Dovecot** pour utiliser les certificats SSL/TLS avec **Let's Encrypt**, améliorant ainsi la sécurité de votre serveur de messagerie. Assurez-vous de tester votre configuration pour vérifier que tout fonctionne correctement avant de la mettre en production. En suivant ces étapes, vous devriez être capable de configurer **Postfix** et **Dovecot** pour utiliser les certificats SSL/TLS avec **Let's Encrypt**, améliorant ainsi la sécurité de votre serveur de messagerie. Assurez-vous de tester votre configuration pour vérifier que tout fonctionne correctement avant de la mettre en production.
  • informatique/serveur/postfix.1703869140.txt.gz
  • Dernière modification : 2023/12/29 17:59
  • de Cédric ABONNEL