Archive dans août 2015

IMAP et SMTP, Proftpd en SSL

Mise à jour Mars 2017, avec l’arrivée de Let’sEncrypt

Mais que se passe-t-il en 2017 ? Les autorités de CA pètent les plombs ? Ernst & Young n’est pas capable d’auditer une autorité de certification correctement ? WhoSign n’est pas fiable, a de plus acheté StartSSL, donc voili voilou, on se retrouve avec Google v57 et Firefox qui ne font plus confiance à StartSSL, donc migration sur Let’sEncrypt. Et au passage l’autorité CA de Symantec se fait remonter les bretelles par Google…. cela doit faire plaisir à leurs clients !

Pour HTTPs, c’est un jeu d’enfant. Génération & Installation sur Apache en automatique avec Certbot pour Debian 8. Plié en 5 minutes.

Bon pour les mails en securisé SSL, on peut (doit) réutiliser les clefs de apache générées pour le serveur www.caronico.fr. On ne peut pas avoir différents hosts avec un serveur de classe 1. Par ailleurs le MX doit pointer sur www.caronico.fr. La documentation de Certbot est sur https://certbot.eff.org/docs/using.html#where-are-my-certificates

Les fichiers de certificats sont dans le dossier /etc/letsencrypt/live/www.caronico.fr

IMAP/POP3
Pour les clients IMAPs/POP3s, la configuration SSL se situe dans /etc/dovecot/dovecot.conf avec les références :

ssl_key =</etc/letsencrypt/live/www.caronico.fr/privkey.pem
ssl_cert =</etc/letsencrypt/live/www.caronico.fr/cert.pem
ssl_ca = </etc/letsencrypt/live/www.caronico.fr/chain.pem

SMTP

Pour SMTP c’est configuré dans /etc/postfix/main.cf avec les références :


smtpd_tls_cert_file = /etc/letsencrypt/live/www.caronico.fr/fullchain.pem
smtpd_tls_key_file = /etc/letsencrypt/live/www.caronico.fr/privkey.pem
smtpd_tls_CAfile = /etc/letsencrypt/live/www.caronico.fr/chain.pem
smtpd_use_tls = yes

PROFTPD
Pour le serveur FTP en TLS, c’est ici dans le fichier TLS.CONF

TLSRSACertificateFile /etc/letsencrypt/live/www.caronico.fr/fullchain.pem
TLSRSACertificateKeyFile /etc/letsencrypt/live/www.caronico.fr/privkey.pem

Côté client.

Note pour le côté client, il faut prendre sécurité type « SSL » server, le server www.caronico.com et les ports 25 pour SMTP et 993 pour IMAPs.