Mise à jour Mars 2017, avec l’arrivée de Let’sEncrypt
Mais que se passe-t-il en 2017 ? Les autorités de CA pètent les plombs ? Ernst & Young n’est pas capable d’auditer une autorité de certification correctement ? WhoSign n’est pas fiable, a de plus acheté StartSSL, donc voili voilou, on se retrouve avec Google v57 et Firefox qui ne font plus confiance à StartSSL, donc migration sur Let’sEncrypt. Et au passage l’autorité CA de Symantec se fait remonter les bretelles par Google…. cela doit faire plaisir à leurs clients !
Pour HTTPs, c’est un jeu d’enfant. Génération & Installation sur Apache en automatique avec Certbot pour Debian 8. Plié en 5 minutes.
Bon pour les mails en securisé SSL, on peut (doit) réutiliser les clefs de apache générées pour le serveur www.caronico.fr. On ne peut pas avoir différents hosts avec un serveur de classe 1. Par ailleurs le MX doit pointer sur www.caronico.fr. La documentation de Certbot est sur https://certbot.eff.org/docs/using.html#where-are-my-certificates
Les fichiers de certificats sont dans le dossier /etc/letsencrypt/live/www.caronico.fr
IMAP/POP3
Pour les clients IMAPs/POP3s, la configuration SSL se situe dans /etc/dovecot/dovecot.conf avec les références :
ssl_key =</etc/letsencrypt/live/www.caronico.fr/privkey.pem ssl_cert =</etc/letsencrypt/live/www.caronico.fr/cert.pem ssl_ca = </etc/letsencrypt/live/www.caronico.fr/chain.pem
SMTP
Pour SMTP c’est configuré dans /etc/postfix/main.cf avec les références :
smtpd_tls_cert_file = /etc/letsencrypt/live/www.caronico.fr/fullchain.pem smtpd_tls_key_file = /etc/letsencrypt/live/www.caronico.fr/privkey.pem smtpd_tls_CAfile = /etc/letsencrypt/live/www.caronico.fr/chain.pem smtpd_use_tls = yes
PROFTPD
Pour le serveur FTP en TLS, c’est ici dans le fichier TLS.CONF
TLSRSACertificateFile /etc/letsencrypt/live/www.caronico.fr/fullchain.pem TLSRSACertificateKeyFile /etc/letsencrypt/live/www.caronico.fr/privkey.pem
Côté client.
Note pour le côté client, il faut prendre sécurité type « SSL » server, le server www.caronico.com et les ports 25 pour SMTP et 993 pour IMAPs.