📧 Безопасный сервер iRedMail с SSL-сертификатом Let Encrypt |
Главная » Мануал

📧 Безопасный сервер iRedMail с SSL-сертификатом Let Encrypt

Мануал
На чтение 3 мин Опубликовано

При установке iRedMail по умолчанию генерируется и устанавливается самоподписанный сертификат SSL для почтовых служб – POP3 / IMAP / SMTP через TLS и для доступа по HTTPS к веб-почте.

🔐 Типы сертификатов SSL / TLS — Руководство для начинающих

При использовании самоподписанного сертификата вы часто будете получать предупреждения о том, что используемый сертификат не является доверенным.

Чтобы избежать этих надоедливых сообщений, рекомендуется купить SSL-сертификат у поставщика SSL-сертификатов или получить бесплатный сертификат Let Encrypt.

В этом руководстве мы будем использовать бесплатный SSL-сертификат Let Encrypt для защиты наших служб iRedMail.

Чтобы иметь возможность получить SSL-сертификат Let’s Encrypt, ваш сервер должен иметь публичный IP-адрес и запись DNS, указывающую на этот IP-адрес.

Шаг 1: Получить сертификат Let Encrypt

Установите средство certbot, которое будет использоваться для получения SSL-сертификата Let’s Encrypt.

wget https://dl.eff.org/certbot-auto
chmod +x certbot-auto
sudo mv certbot-auto /usr/local/bin/certbot-auto
После установки утилиты certbot-auto сохраните адрес электронной почты и домен для сервера iRedMail.
DOMAIN="mail.itsecforu.ru"
EMAIL="webmaster@itsecforu.ru"

Остановите службу Nginx.

sudo systemctl stop nginx

Получите бесплатный сертификат Let’s Encrypt для почтового сервера iRedMail.

sudo /usr/local/bin/certbot-auto certonly --standalone -d $DOMAIN --preferred-challenges http --agree-tos -n -m $EMAIL --keep-until-expiring

Стандартное успешное сообщение для Let Encrypt выводет путь к вашим сертификатам.

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/mail.itsecforu.ru/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/mail.itsecforu.ru/privkey.pem
   Your cert will expire on 2020-01-23. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot-auto
   again. To non-interactively renew *all* of your certificates, run
   "certbot-auto renew"
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

Шаг 2. Замена самоподписанных сертификатов iRedMail.

Переименуйте iRedMail.crt самоподписанный сертификат и закрытый ключ 

sudo mv /etc/pki/tls/certs/iRedMail.crt{,.bak}
sudo mv /etc/pki/tls/private/iRedMail.key{,.bak}

Скопируйте сертификат Let Let Encrypt

sudo cp /etc/letsencrypt/live/mail.itsecforu.ru/fullchain.pem /etc/pki/tls/certs/iRedMail.crt
sudo cp  /etc/letsencrypt/live/mail.itsecforu.ru/privkey.pem /etc/pki/tls/private/iRedMail.key
Перезапустите сервер iRedMail, чтобы службы использовали новый сертификат.
sudo reboot
После добавления SSL-сертификата Let Encrypt приложение почтового клиента (MUA, например Outlook, Thunderbird) не должно предупреждать вас о недействительном сертификате.
Дополнение от читателя:
В iRedMail 1.1 путь к сертификатам изменился.
Вместо:
sudo mv /etc/pki/tls/certs/iRedMail.crt{,.bak}
sudo mv /etc/pki/tls/private/iRedMail.key{,.bak}
необходимо:
sudo mv /etc/ssl/certs/iRedMail.crt{,.bak}
sudo mv /etc/ssl/private/iRedMail.key{,.bak} .
Также вместо копирования сертификатов делать ссылку.
Вместо:
sudo cp /etc/letsencrypt/live/mail.itsecforu.ru/fullchain.pem /etc/pki/tls/certs/iRedMail.crt
sudo cp /etc/letsencrypt/live/mail.itsecforu.ru/privkey.pem /etc/pki/tls/private/iRedMail.key
необходимо:
sudo ln -s /etc/letsencrypt/live/mail.itsecforu.ru/fullchain.pem /etc/ssl/certs/iRedMail.crt
sudo ln -s /etc/letsencrypt/live/mail.itsecforu.ru/privkey.pem /etc/ssl/private/iRedMail.key

email letsencrypt linux SSL
Пожалуйста, не спамьте и никого не оскорбляйте. Это поле для комментариев, а не спамбокс. Рекламные ссылки не индексируются!
Добавить комментарий

  1. Сергей

    Огромное спасибо за инструкцию. Всё четко расписано, но есть просьба отредактировать чуть чуть. В iRedMail 1.1 путь к сертификатам изменился. Вместо sudo mv /etc/pki/tls/certs/iRedMail.crt{,.bak}
    sudo mv /etc/pki/tls/private/iRedMail.key{,.bak} сделать sudo mv /etc/ssl/certs/iRedMail.crt{,.bak}
    sudo mv /etc/ssl/private/iRedMail.key{,.bak} . Также вместо копирования сертификатов делать ссылку. Вместо sudo cp /etc/letsencrypt/live/mail.itsecforu.ru/fullchain.pem /etc/pki/tls/certs/iRedMail.crt
    sudo cp /etc/letsencrypt/live/mail.itsecforu.ru/privkey.pem /etc/pki/tls/private/iRedMail.key сделать sudo ln -s /etc/letsencrypt/live/mail.itsecforu.ru/fullchain.pem /etc/ssl/certs/iRedMail.crt
    sudo ln -s /etc/letsencrypt/live/mail.itsecforu.ru/privkey.pem /etc/ssl/private/iRedMail.key

    Ответить
    1. cryptoparty автор

      Спасибо! Добавили ваши дополнения!

      Ответить
  2. Дмитрий

    Все прошло успешно по инструкции, но outlook все еще ругается “Сервер с которым установлено соединение, использует сертификат безопасности, который не может быть проверен” Хотя если просмотреть сертификат, он появился “Состояние – действителен; DST ROOT CA X3 – R3 – metrue.ru
    П.С. из за этого так же возникают проблемы с почтовыми клиентами андройд и ios

    Ответить