Configuration pour Courier IMAP/POP3
Supprimer les anciens certificats
- rm /usr/lib/courier/*.pem
- rm /etc/courier/*.pem
Modifier les configurations pour la génération
Il est nécessaires de modifier les configurations de génération des certificats. Elles se trouvent dans les fichiers /etc/courier/imapd.cnf pour le serveur imap et /etc/courier/pop3d.cnf pour le serveur pop3.
Voici comment modifier un des fichiers (ici celui pour imap) :
- #Ouverture du fichier
- nano /etc/courier/imapd.cnf
Modifier la partie [ req_dn ] du fichier qui devra ressembler à quelque chose comme ceci (pour notre serveur arscenic.org) :
- [ req_dn ]
- C=FR
- ST=75
- L=Paris
- O=Magda Courier Mail Server
- OU=Automatically-generated IMAP SSL key
- CN=magda.arscenic.org
- emailAddress=postmaster@arscenic.org
Il faut faire exactement de même pour le fichier /etc/courier/pop3d.cnf.
Regénération des certificats
La regénération des certificats se fait de la sorte :
- mkimapdcert
- mkpop3dcert
Les certificats sont alors créés dans le répertoire /usr/lib/courier/ (il peut être différent mais est indiqué lors de la génération) :
- /usr/lib/courier/pop3d.pem
- /usr/lib/courier/imapd.pem
Vérifiez dans les fichiers de configuration des serveurs, le chemin vers les certificats soit le bon :
- Dans le fichier /etc/courier/imapd-ssl vérifiez la présence de la ligne suivante :
- TLS_CERTFILE=/usr/lib/courier/imapd.pem
- Dans le fichier /etc/courier/pop3d-ssl vérifiez la présence de la ligne suivante :
- TLS_CERTFILE=/usr/lib/courier/pop3d.pem
Redémarrage des serveurs
Il ne reste plus qu’a redémarrer les serveurs :
- /etc/init.d/courier-imap-ssl restart
- /etc/init.d/courier-pop-ssl restart
Normalement, lorsque vous redémarrerez votre logiciel de consultation d’emails, le nouveau certificat devra comprendre les données que vous avez saisies dans les deux fichiers de configuration.
Ces certificats ne sont pas considérés comme fiables par les logiciels car ils ne proviennent pas des grands organismes de gestion de certificats tels Verisign ou Thawte par exemple...
Mais compte tenu des tarifs de ces entreprises, cette méthode suffit dans la grande majorité des cas.
Configuration pour Postfix
Création des répertoires adéquats et de la clé RSA
- mkdir /etc/postfix/ssl
- cd /etc/postfix/ssl/
- openssl genrsa -des3 -rand /etc/hosts -out smtpd.key 1024
- chmod 600 smtpd.key
Génération du certicicat
On génère les données qui seront utilisées par le certificat par cette commande :
- openssl req -new -key smtpd.key -out smtpd.csr
Plusieurs questions vous sont alors posées, pour le même serveur, nous avons répondu comme suit :
- # Country Name (2 letter code) [AU]:
- FR
- # State or Province Name (full name) [Some-State]:
- 75
- # Locality Name (eg, city) []:
- Paris
- # Organization Name (eg, company) [Internet Widgits Pty Ltd]:
- Arscenic
- # Organizational Unit Name (eg, section) []:
- Magda SMTP Service
- # Common Name (eg, YOUR name) []:
- magda.arscenic.org
- # Email Address []:
- postmaster@arscenic.org
- # A challenge password []:
- ********
- #An optional company name []:
- Arscenic
Ensuite, il est nécessaire de générer le certificat lui-même :
- openssl x509 -req -days 3650 -in smtpd.csr -signkey smtpd.key -out smtpd.crt
- openssl x509 -req -days 3650 -in smtpd.csr -signkey smtpd.key -out smtpd.crt
- openssl rsa -in smtpd.key -out smtpd.key.unencrypted
- mv -f smtpd.key.unencrypted smtpd.key
- openssl req -new -x509 -extensions v3_ca -keyout cakey.pem -out cacert.pem -days 3650
Les mêmes questions qu’auparavant vous seront posées.... Répondez de la même manière...
Modification de la configuration de Postfix pour la gestion du TLS
Ouvrez le fichier /etc/postfix/main.cf et ajoutez y ces lignes :
- smtpd_use_tls = yes
- smtpd_tls_key_file = /etc/postfix/ssl/smtpd.key
- smtpd_tls_cert_file = /etc/postfix/ssl/smtpd.crt
- smtpd_tls_CAfile = /etc/postfix/ssl/cacert.pem
- smtpd_tls_loglevel = 4
- smtpd_tls_received_header = yes
- smtpd_tls_session_cache_timeout = 3600s
- tls_random_source = dev:/dev/urandom
sudo adduser postfix sasl