📧 Безопасный сервер iRedMail с SSL-сертификатом Let Encrypt — Information Security Squad
📧 Безопасный сервер iRedMail с SSL-сертификатом Let Encrypt

При установке iRedMail по умолчанию генерируется и устанавливается самоподписанный сертификат SSL для почтовых служб — POP3 / IMAP / SMTP через TLS и для доступа по HTTPS к веб-почте.

🔐 Типы сертификатов SSL / TLS — Руководство для начинающих

При использовании самоподписанного сертификата вы часто будете получать предупреждения о том, что используемый сертификат не является доверенным.

Чтобы избежать этих надоедливых сообщений, рекомендуется купить SSL-сертификат у поставщика SSL-сертификатов или получить бесплатный сертификат Let Encrypt.

В этом руководстве мы будем использовать бесплатный SSL-сертификат Let Encrypt для защиты наших служб iRedMail.

Чтобы иметь возможность получить SSL-сертификат Let’s Encrypt, ваш сервер должен иметь публичный IP-адрес и запись DNS, указывающую на этот IP-адрес.

Шаг 1: Получить сертификат Let Encrypt

Установите средство certbot, которое будет использоваться для получения SSL-сертификата Let’s Encrypt.

wget https://dl.eff.org/certbot-auto
chmod +x certbot-auto
sudo mv certbot-auto /usr/local/bin/certbot-auto
После установки утилиты certbot-auto сохраните адрес электронной почты и домен для сервера iRedMail.
DOMAIN="mail.itsecforu.ru"
EMAIL="webmaster@itsecforu.ru"
Остановите службу Nginx.

sudo systemctl stop nginx

Получите бесплатный сертификат Let’s Encrypt для почтового сервера iRedMail.

sudo /usr/local/bin/certbot-auto certonly --standalone -d $DOMAIN --preferred-challenges http --agree-tos -n -m $EMAIL --keep-until-expiring

Стандартное успешное сообщение для Let Encrypt выводет путь к вашим сертификатам.

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/mail.itsecforu.ru/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/mail.itsecforu.ru/privkey.pem
   Your cert will expire on 2020-01-23. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot-auto
   again. To non-interactively renew *all* of your certificates, run
   "certbot-auto renew"
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

Шаг 2. Замена самоподписанных сертификатов iRedMail.

Переименуйте iRedMail.crt самоподписанный сертификат и закрытый ключ

sudo mv /etc/pki/tls/certs/iRedMail.crt{,.bak}
sudo mv /etc/pki/tls/private/iRedMail.key{,.bak}
Скопируйте сертификат Let Let Encrypt

sudo cp /etc/letsencrypt/live/mail.itsecforu.ru/fullchain.pem /etc/pki/tls/certs/iRedMail.crt
sudo cp  /etc/letsencrypt/live/mail.itsecforu.ru/privkey.pem /etc/pki/tls/private/iRedMail.key
Перезапустите сервер iRedMail, чтобы службы использовали новый сертификат.
sudo reboot
После добавления SSL-сертификата Let Encrypt приложение почтового клиента (MUA, например Outlook, Thunderbird) не должно предупреждать вас о недействительном сертификате.
 

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40