SSL sur serveur MAIL ISPCONFIG Le sujet est résolu

[ewkilian]

Bonjour,

Mes sites internets sont configurés en HTTP SSL via LEts encrypt. Mais je me rends compte que lorsque j'ai généré le certificat via ISPCONFIG, ce certif, n'est pas connu du serveur IMAP. Car j'ai en permanence le message de certificat non vérifié au niveau de mon Outlook.
Est-ce que vous avez une procédure pour rattacher le certificat du WWW sur le serveur IMAP ?
Je vous remercie d'avance
A bientot

[lol]

Salut,

1) Ton certificat doit correspondre au fdqn utilisé par postfix:

Code : Tout sélectionner

nano /etc/postfix/main.cf
...
myhostname = mon.domaine.ltd

Code : Tout sélectionner

nano /etc/mailname
mon.domaine.ltd

2) Pour le certificat c'est relativement simple:

Code : Tout sélectionner

mv /etc/postfix/smtpd.cert /etc/postfix/smtpd.cert.bak
mv /etc/postfix/smtpd.key /etc/postfix/smtpd.key.bak
ln -s /chemin/vers/ton/certificat/fullchain.pem /etc/postfix/smtpd.cert
ln -s /chemin/vers/ton/certificat/privkey.pem /etc/postfix/smtpd.key

3) service postfix restart && service dovecot restart

[ewkilian]

Super, je n'ai pas testé, mais je comprends la principe, et je pense que ca le fera.
Vraiment merci beaucoup pour ton aide régulier...
MERCI

[ewkilian]

Salut,
J'avais essayé sans pousser le test ta méthode, mais après sur mon "iphone" (exemple) j'avais des messages d'erreur de certificat... et impossible à passer outre, je n'ai pas poussé le test, et revnu en arrière de peur que le message impact les clients du serveur.
Mais que penses tu de ce tuto :
https://techarea.fr/installer-certifica ... ixdovecot/
Dois-je aussi effectuer la manip sur dovecot comme dans le tuto ?
Merci

PS : A ce sujet, j’ai plusieurs domaines, et donc il n’y aura qu’un certificat (pas de wildcard ou autre) pour UN domaine. Par conséquent, il faudra que je configure sur tous les clients E-mails l’adresses correspondant au certificat, même si le client est sous une autre adresse c’est ca ? où je peux garder les configuration sur les outlook, de type smtp.domain1.com, smtp.domaine2.com.... sachant que le serveur est configuré avec le domaine3.com

[lol]

Bon, ma réponse est passée à la trappe, déconnecté au moment de poster.
Je recommence:

- Le tuto à l'air ok, tu nous confirmera. ;-)
- Le wildcard était prévu pour janvier, c'est repoussé à février, c'est bientôt... https://community.letsencrypt.org/t/are ... week/49354

- Pour ton serveur de mail, sers toi d'un seule domaine configuré avec ssl (il suffit qu'il pointe sur ton IP).
Tu donne ce domaine à tous tes clients (IMAP/POP et SMTP). Pas la peine de t'emmerder avec imap.mondomaine.tld, smtp.mondomaine.tld, pop.mondomaine.tld... un mail.mondomaine.tld suffira pour tout!

Enfin, oui Apple est super merdique à configuré. Mais je l'ai fait il y a peu sur un iphone (port 587 + ssl) et je n'ai pas rencontré de soucis particuliers.

[ewkilian]

Bonjour,

Malgré avoir suivi le tuto de @lol, adapté au tuto de mon précédent post... Je pensais que mon serveur avait pris le bon certif mais ce n'est pas la cas. Car les utilisateurs se plaignaient d'avoir des info, concernant le certificat, qui apparaissait sur leur terminal, client Mail etc
Au lieu de « jouer » et d’espérer que ça fonctionne j’ai cherché une commande qui me permet de tester.

Code : Tout sélectionner

openssl s_client -showcerts -connect MONDOMAIN1.COM:993

Résultat

Code : Tout sélectionner

…
Certificate chain
 0 s:/C=FR/ST=France/L=Bas-Rhin/O=Informatique/OU=Informatique/CN=monserveur.dedibox.fr
   i:/C=FR/ST=France/L=Bas-Rhin/O=Informatique/OU=Informatique/CN= monserveur.dedibox.fr
….

Si j’obtiens cela, c’est que mon certif n’est pas pris en compte, malgré que dans main.cf (de postfix)
J’ai bien cela

Code : Tout sélectionner

smtpd_tls_cert_file = /etc/letsencrypt/live/MONDOMAIN1.COM/cert.pem
smtpd_tls_key_file = /etc/letsencrypt/live/MONDOMAIN1.COM/privkey.pem

Pour @lol : j’avais testé avec le lien comme tu m’avais préconisé, et là j’ai testé en mettant le path absolu

Mais en parcourant le CFG, je vois également les ligne ci-dessous :

Code : Tout sélectionner

…
smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination
myhostname =monserveur.dedibox.fr
alias_maps = hash:/etc/aliases, hash:/var/lib/mailman/data/aliases
alias_database = hash:/etc/aliases, hash:/var/lib/mailman/data/aliases
myorigin = /etc/mailname
mydestination = monserveur.dedibox.fr, localhost, localhost.localdomain
relayhost =
…

Ne devrais-je pas remplacer
« monserveur.dedibox.fr » par MONDOMAIN1.COM ?

Une idée ? besoin d’une info supplémentaire ?

Merci bien
A+

[lol]

Salut,
Non, le nom du serveur de mail doit correspondre au domaine du certificat.

Dans mon cas j'ai bien les certificats qui pointent vers le bon dossier letsencrypt:

Code : Tout sélectionner

# vdir /etc/postfix/smtpd*
lrwxrwxrwx 1 root root   58 oct.  23 08:15 /etc/postfix/smtpd.cert -> /etc/letsencrypt/live/master.xxxxx.com/fullchain.pem
lrwxrwxrwx 1 root root   56 oct.  23 08:15 /etc/postfix/smtpd.key -> /etc/letsencrypt/live/master.xxxxx.com/privkey.pem

Le bon domaine dans main.cf:

Code : Tout sélectionner

# grep myhostname /etc/postfix/main.cf
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
myhostname = master.xxxxx.com

Et le bon mailname dans /etc/mailname

Code : Tout sélectionner

# cat /etc/mailname 
master.xxxxx.com

Et quand je vérifie le certificat, c'est ok:

Code : Tout sélectionner

$ openssl s_client -showcerts -connect master.xxxxx.com:993
...
Certificate chain
 0 s:/CN=master.xxxxx.com
   i:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3

[ewkilian]

Salut,
JE vais devenir dingue.
Voici mes resultats :

Code : Tout sélectionner

grep myhostname /etc/postfix/main.cf
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
myhostname = MONDOMAIN1.com

Code : Tout sélectionner

grep smtpd_tls /etc/postfix/main.cf
smtpd_tls_cert_file = /etc/letsencrypt/live/MONDOMAIN1.com/fullchain.pem              
smtpd_tls_key_file = /etc/letsencrypt/live/MONDOMAIN1.com/privkey.pem

Code : Tout sélectionner

cat /etc/mailname
MONDOMAIN1.com

Si je fais :

Code : Tout sélectionner

 openssl s_client -showcerts -connect MONDOMAIN1.com:465
Server certificate
subject=/CN=MONDOMAIN1.com
issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
---

Ca c'est une bonne chose.

Par contre si je fais

Code : Tout sélectionner

 openssl s_client -showcerts -connect MONDOMAIN1.com:993
Server certificate
subject=/C=FR/ST=France/L=Bas-Rhin/O=Informatique/OU=Informatique/CN=sd-xx.dedibox.fr
issuer=/C=FR/ST=France/L=Bas-Rhin/O=Informatique/OU=Informatique/CN=sd-xx.dedibox.fr
---

Et la ca ne vas pas car le CN ne correspond pas à MONDOMAIN1.com

Donc si je comprends bien POSTFIX serait bon, mais pas DOVECOT ?

Si j'édite : /etc/dovecot/conf.d/10-ssl.conf
J'ai cela :

Code : Tout sélectionner

# SSL/TLS support: yes, no, required. <doc/wiki/SSL.txt>
ssl = no

Ne devrais-je pas mettre "yes" ?

Dans ce même fichier j'ai bien :

ssl_cert = /etc/letsencrypt/live/MONDOMAIN1.com/fullchain.pem
ssl_key = /etc/letsencrypt/live/MONDOMAIN1.com/privkey.pem

Je ne sais plus où et comment chercher.
Je suis vraiment désolé de vous embêter....

A+

[lol]

Salut,
Désolé, comme une bille je n'avais pas percuté que ton problème était avec Dovecot...
Oui ton devecot est mal configuré...

Code : Tout sélectionner

# grep "ssl" dovecot.conf
ssl_cert = </etc/postfix/smtpd.cert
ssl_key = </etc/postfix/smtpd.key
ssl_protocols = !SSLv3

Je n'ai pas de "include conf.d" donc les fichiers du répertoire conf.d ne sont pas prit en compte.
Tu peut montrer l'intégralité de ton devocot.conf ?

[ewkilian]

Salut,
effectivement Dovecot posait problème.
J'ai modifié avant de voir ton post, en cherchant sur Internet, et là BAM plus rien ne fonctionner... Je suis revenu sur un backup d'un fichier de conf, et après j'ai réussi à le faire partir
Je pense que j'avais oublié le ssl_cert = </etc/postfix/smtpd.cert car dans postfix il n'y est pas, j'ai sans doute du faire un copier/coller.
Mais maintenant ca marche, et je t'en remercie.
A bientot

[lol]

Cool, merci du retour!