При установке iRedMail по умолчанию генерируется и устанавливается самоподписанный сертификат SSL для почтовых служб – POP3 / IMAP / SMTP через TLS и для доступа по HTTPS к веб-почте.
🔐 Типы сертификатов SSL / TLS — Руководство для начинающих
При использовании самоподписанного сертификата вы часто будете получать предупреждения о том, что используемый сертификат не является доверенным.
Чтобы избежать этих надоедливых сообщений, рекомендуется купить SSL-сертификат у поставщика SSL-сертификатов или получить бесплатный сертификат Let Encrypt.
В этом руководстве мы будем использовать бесплатный SSL-сертификат Let Encrypt для защиты наших служб iRedMail.
Чтобы иметь возможность получить SSL-сертификат Let’s Encrypt, ваш сервер должен иметь публичный IP-адрес и запись DNS, указывающую на этот IP-адрес.
Шаг 1: Получить сертификат Let Encrypt
Установите средство certbot, которое будет использоваться для получения SSL-сертификата Let’s Encrypt.
wget https://dl.eff.org/certbot-auto
chmod +x certbot-auto
sudo mv certbot-auto /usr/local/bin/certbot-auto
DOMAIN="mail.itsecforu.ru"
EMAIL="webmaster@itsecforu.ru"
Остановите службу Nginx.
sudo systemctl stop nginx
Получите бесплатный сертификат Let’s Encrypt для почтового сервера iRedMail.
sudo /usr/local/bin/certbot-auto certonly --standalone -d $DOMAIN --preferred-challenges http --agree-tos -n -m $EMAIL --keep-until-expiring
Стандартное успешное сообщение для Let Encrypt выводет путь к вашим сертификатам.
IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at:
/etc/letsencrypt/live/mail.itsecforu.ru/fullchain.pem
Your key file has been saved at:
/etc/letsencrypt/live/mail.itsecforu.ru/privkey.pem
Your cert will expire on 2020-01-23. To obtain a new or tweaked
version of this certificate in the future, simply run certbot-auto
again. To non-interactively renew *all* of your certificates, run
"certbot-auto renew"
- If you like Certbot, please consider supporting our work by:
Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le
Шаг 2. Замена самоподписанных сертификатов iRedMail.
Переименуйте iRedMail.crt самоподписанный сертификат и закрытый ключ
sudo mv /etc/pki/tls/certs/iRedMail.crt{,.bak}
sudo mv /etc/pki/tls/private/iRedMail.key{,.bak}
Скопируйте сертификат Let Let Encrypt
sudo cp /etc/letsencrypt/live/mail.itsecforu.ru/fullchain.pem /etc/pki/tls/certs/iRedMail.crt
sudo cp /etc/letsencrypt/live/mail.itsecforu.ru/privkey.pem /etc/pki/tls/private/iRedMail.key
sudo reboot
sudo mv /etc/pki/tls/certs/iRedMail.crt{,.bak} sudo mv /etc/pki/tls/private/iRedMail.key{,.bak}
sudo mv /etc/ssl/certs/iRedMail.crt{,.bak} sudo mv /etc/ssl/private/iRedMail.key{,.bak} .
sudo cp /etc/letsencrypt/live/mail.itsecforu.ru/fullchain.pem /etc/pki/tls/certs/iRedMail.crt sudo cp /etc/letsencrypt/live/mail.itsecforu.ru/privkey.pem /etc/pki/tls/private/iRedMail.key
sudo ln -s /etc/letsencrypt/live/mail.itsecforu.ru/fullchain.pem /etc/ssl/certs/iRedMail.crt sudo ln -s /etc/letsencrypt/live/mail.itsecforu.ru/privkey.pem /etc/ssl/private/iRedMail.key
Огромное спасибо за инструкцию. Всё четко расписано, но есть просьба отредактировать чуть чуть. В iRedMail 1.1 путь к сертификатам изменился. Вместо sudo mv /etc/pki/tls/certs/iRedMail.crt{,.bak}
sudo mv /etc/pki/tls/private/iRedMail.key{,.bak} сделать sudo mv /etc/ssl/certs/iRedMail.crt{,.bak}
sudo mv /etc/ssl/private/iRedMail.key{,.bak} . Также вместо копирования сертификатов делать ссылку. Вместо sudo cp /etc/letsencrypt/live/mail.itsecforu.ru/fullchain.pem /etc/pki/tls/certs/iRedMail.crt
sudo cp /etc/letsencrypt/live/mail.itsecforu.ru/privkey.pem /etc/pki/tls/private/iRedMail.key сделать sudo ln -s /etc/letsencrypt/live/mail.itsecforu.ru/fullchain.pem /etc/ssl/certs/iRedMail.crt
sudo ln -s /etc/letsencrypt/live/mail.itsecforu.ru/privkey.pem /etc/ssl/private/iRedMail.key
Спасибо! Добавили ваши дополнения!
Все прошло успешно по инструкции, но outlook все еще ругается “Сервер с которым установлено соединение, использует сертификат безопасности, который не может быть проверен” Хотя если просмотреть сертификат, он появился “Состояние – действителен; DST ROOT CA X3 – R3 – metrue.ru
П.С. из за этого так же возникают проблемы с почтовыми клиентами андройд и ios