Установка сертификата Let's Encrypt на iRedMail

Так как Let's Encrypt позволяет получить валидный ssl/tls сертификат абсолютно бесплатно, а Google к примеру уже начал ужесточать свою политику по отношению к сайтам, которые работают по открытому протоколу http, то самое время воспользоваться оказией и перевести свои сервера на работу в защищенном режиме.
В данном посте я расскажу, как это сделать для замечательного во всех отношениях пакета iRedMail позволяющего очень быстро и без лишнего геммороя поднять полноценный почтовый сервер.

 

  • Заходим в консоль почтового сервера под суперпользователем root
  • Останавливаем Apache или Nginxт. к. Let's Encrypt во время своей работы использует 80 порт — #apachectl stop или #service nginx stop 
  • Обновляем локальный индекс пакетов до последних изменений в репозиториях — #apt-get update -y
  • Устанавливаем Let's Encrypt — #apt-get install letsencrypt -y
  • Получаем сертификаты — #letsencrypt certonly
  • Появятся 2 окна с просьбой ввести e-mail администратора и домен для которого мы получаем сертификат
  • Если все прошло успешно то появится сообщение вида:
    Congratulations! Your certificate and chain have been saved at /etc/letsencrypt/live/mail.yourdomain.com/fullchain.pem
    Your cert will expire on 2017-03-19. To obtain a new version
    of the certificate in the future, simply run Let's Encrypt again.
    Путь к полученным файлам (fullchain.pem, privkey.pem, cert.pem, chain.pem) указан в сообщение из пункта 7, их можно посмотреть командой — #ls -al /etc/letsencrypt/live/mail.yourdomain.com/

  • Прописываем сертификаты в Dovecot, для этого открываем конфиг — #vim /etc/dovecot/dovecot.conf и изменяем или добавляем следующие строки:
    ssl_cert = </etc/letsencrypt/live/mail.yourdomain.com/fullchain.pem
    ssl_key = </etc/letsencrypt/live/mail.yourdomain.com/privkey.pem
  • Прописываем сертификаты в Nginx, для этого открываем конфиг — #vim /etc/nginx/conf.d/default.conf и изменяем или добавляем следующие строки:
    ssl_certificate /etc/letsencrypt/live/mail.yourdomain.com/fullchain.pem
    ssl_certificate_key /etc/letsencrypt/live/mail.yourdomain.com/privkey.pem
  • Прописываем сертификаты в Postfix, для этого выполняем следующие команды:
    #postconf -e smtpd_tls_cert_file='/etc/letsencrypt/live/mail.yourdomain.com/cert.pem'
    #postconf -e smtpd_tls_key_file='/etc/letsencrypt/live/mail.yourdomain.com/privkey.pem'
    #postconf -e smtpd_tls_CAfile='/etc/letsencrypt/live/mail.yourdomain.com/chain.pem'
  • При желании прописываем сертификаты в MySQL, для этого открываем конфиг — #vim /etc/mysql/my.cnf и изменяем или добавляем следующие строки:
    ssl-cert = /etc/letsencrypt/live/mail.yourdomain.com/fullchain.pem
    ssl-key = /etc/letsencrypt/live/mail.yourdomain.com/privkey.pem
  • Перезапускаем все сервисы в которых прописали использование сертификатов или перезагружаем сервер
  • Все
{lang: 'ru'}


Затвитить пост!

Рейтинг:
1 Star (1 голосов, средний: 0,00 из 5)
Загрузка...
Популярность: Просмотров: 2 837
Метки: ,

6 комментариев к “Установка сертификата Let's Encrypt на iRedMail”

  • 11 февраля, 2017, 20:29
    Цитировать

    Не понятно, что за пакет letsencrypt ? Он вроде certbot уже стал плюс надо дописывать дополнительные репозитории, а об этом у вас не сказано.

  • 11 февраля, 2017, 20:55
    Цитировать

    Пару недель назад ставил ровно так, как описал в статье. Никаких дополнительных реп не ставил.У меня все работает, поэтому не знаю, что вам ответить.

  • Николай
    9 августа, 2017, 18:31
    Цитировать

    День добрый.

    >>Появятся 2 окна с просьбой ввести e-mail администратора и домен для которого мы получаем сертификат

    А можно уточнить, исходя из Вашего примера: мне необходимо указывать mail.yourdomain.com или yourdomain.com?

    И еще вопросик: сертификаты, я так понял, действительны 3 месяца, процедура обновления — это просто ежеквартальное повторение всех вышеописанных шагов?

    Заранее благодарен

  • 14 августа, 2017, 15:46
    Цитировать

    Доброго дня.

    1. mail.yourdomain.com

    2. service nginx stop

    letsencrypt certonly --renew -d mail.yourdomain.com

    service nginx start

  • Владимир
    20 сентября, 2017, 18:27
    Цитировать

    Добрый день!

    Как можно прикрутить несколько сертификатов для нескольких почтовых доменов?

  • Vasya
    18 июля, 2018, 10:48
    Цитировать

    если нет этого файла куда записывать vim /etc/nginx/conf.d/default.conf — default.conf

Оставить комментарий или два

--> Яндекс.Метрика Рейтинг@Mail.ru