Projet

Général

Profil

Actions
Copier le lien

Demande #3516

fermé

Mettre en place un certificat pour mail.april.org

Ajouté par Quentin Gibeaux il y a presque 6 ans. Mis à jour il y a presque 6 ans.

Statut:
Fermé
Priorité:
Normale
Assigné à:
Quentin Gibeaux
Catégorie:
-
Version cible:
Décembre 2018
Début:
13/12/2018
Echéance:
% réalisé:

0%

Temps estimé:
Difficulté:
2 Facile

Description

Demande de gibus :

J'en ai déjà touché un mot à Polux sur IRC et à madix qui m'a conseillé
d'écrire ici. Depuis une récente mise à jour de thunderbird, ce dernier
refuse de se connecter en POP à mail.april.org:995 (SSL/TLS normal
password) sous prétexte que le certificat est auto-signé. Jusqu'à
maintenant ma configuration fonctionnait très bien en ayant ajouté une
exception permanente. Mais depuis la mise à jour, Thunderbird ne semble
plus tenir compte de cette exception et envoie un avertissement à chaque
fois, propose d'ajouter une exception (pourtant déjà permanente) et
abandonne la connexion quoique l'on fasse. (idem en IMAPS et idem le
SMTP en STARTTLS sur smpt.april.org:587)

Plusieurs pistes :
(PoluX)

Ce que je ferais :
- générer une clé ssh pour un usager letsencrypt sur la VM mail
- donner accès rw au certificat
- installer un hook letsencrypt qui pousse le cert par scp et
  reload les postfix/dovecot.
- monitorer le certificat sur imap/pop/smtp sicenédéjafé

(remarque)
    En configurerant l'accès ssh "letsencrypt" pour pouvoir faire un
     systemctl reload postfix/dovecot ?
Oui avec une conf sudo donc.

Autre possibilité :
- proxyfier les services mail sur le bastion avec nginx.

Actions
Copier le lien
 #1

Mis à jour par Quentin Gibeaux il y a presque 6 ans

nginx-light et dehydrated installés sur mail, conf basique ajoutée :

server {
        listen 80;
        listen [::]:80;

        server_name mail.april.org imap.april.org smtp.april.org;

        location / {
                deny all;
        }
        location /.well-known/acme-challenge {
                alias /var/lib/dehydrated/acme-challenges;
        }
}

proxypass ajouté identique sur bastion.

Conf de postfix et dovecot modifée :

(April) root@mail:/etc/dovecot[master*+$]# git diff .
diff --git a/dovecot/dovecot.conf b/dovecot/dovecot.conf
index 83dfa86..161e7b9 100644
--- a/dovecot/dovecot.conf
+++ b/dovecot/dovecot.conf
@@ -24,9 +24,11 @@ plugin {
        sieve_global_path = /etc/dovecot/sieve/default.sieve
 }

-
-ssl_cert = </etc/ssl/certs/dovecot.pem
-ssl_key = </etc/ssl/private/dovecot.pem
+# old self signed cert
+#ssl_cert = </etc/ssl/certs/dovecot.pem
+#ssl_key = </etc/ssl/private/dovecot.pem
+ssl_cert = </var/lib/dehydrated/certs/mail.april.org/fullchain.pem
+ssl_key = </var/lib/dehydrated/certs/mail.april.org/privkey.pem

 protocols = imap pop3 sieve

(April) root@mail:/etc/postfix[master+$]# git diff --cached . 
diff --git a/postfix/conf.d/20-ssl.conf b/postfix/conf.d/20-ssl.conf
index 81ea48e..7a390d6 100644
--- a/postfix/conf.d/20-ssl.conf
+++ b/postfix/conf.d/20-ssl.conf
@@ -1,6 +1,9 @@
 # TLS parameters
-smtpd_tls_cert_file=/etc/postfix/ssl/certs/mail.april.org.pem
-smtpd_tls_key_file=/etc/postfix/ssl/private/mail.april.org.key
+# old selfsigned cert
+#smtpd_tls_cert_file=/etc/postfix/ssl/certs/mail.april.org.pem
+#smtpd_tls_key_file=/etc/postfix/ssl/private/mail.april.org.key
+smtpd_tls_cert_file=/var/lib/dehydrated/certs/mail.april.org/fullchain.pem
+smtpd_tls_key_file=/var/lib/dehydrated/certs/mail.april.org/privkey.pem
 smtpd_use_tls=yes
 smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
 smtpd_tls_received_header = yes
diff --git a/postfix/main.cf b/postfix/main.cf
index db12baa..32e6f43 100644
--- a/postfix/main.cf
+++ b/postfix/main.cf
@@ -37,8 +37,11 @@ mynetworks = 127.0.0.0/8 172.16.0.0/24 192.168.0.0/16 192.168.25.117/32 88.191.2
 ### conf.d/20-ssl.conf 

 # TLS parameters
-smtpd_tls_cert_file=/etc/postfix/ssl/certs/mail.april.org.pem
-smtpd_tls_key_file=/etc/postfix/ssl/private/mail.april.org.key
+#old selfsigned cert
+#smtpd_tls_cert_file=/etc/postfix/ssl/certs/mail.april.org.pem
+#smtpd_tls_key_file=/etc/postfix/ssl/private/mail.april.org.key
+smtpd_tls_cert_file=/var/lib/dehydrated/certs/mail.april.org/fullchain.pem
+smtpd_tls_key_file=/var/lib/dehydrated/certs/mail.april.org/privkey.pem
 smtpd_use_tls=yes
 smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
 smtpd_tls_received_header = yes

Cron rajouté pour charger les nouveaux cert.

Normalement tout est bon ! (vu avec etienne et gibus)

Actions
Copier le lien
 #2

Mis à jour par Quentin Gibeaux il y a presque 6 ans

  • Assigné à mis à Quentin Gibeaux
  • Version cible changé de Backlog à Décembre 2018
Actions
Copier le lien
 #3

Mis à jour par Quentin Gibeaux il y a presque 6 ans

manque le monitoring smtps imaps

Actions
Copier le lien
 #4

Mis à jour par Quentin Gibeaux il y a presque 6 ans 

gibus | QGuLL: depuis la maison avec thunderbird 60.2.1 (qui buggait avant avec le cert autosigné) je te confirme que ça va très bien (en pop ici)

C'est OK pour gibus, donc reste le monitoring des certs
Actions
Copier le lien
 #5

Mis à jour par Quentin Gibeaux il y a presque 6 ans

  • Statut changé de Nouveau à Résolu

Certificat monitoré sur le port 993 (c'est le même cert pour smtp) :

 define service{
       use                     generic-service
       service_description     SSLCERT::MAIL
       check_command           check_ssl_cert!993
       host_name               mail
       check_interval          1440    
}

Résultat :
 Status Information:    SSL CERT OK - issuer=C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3 valid until Mar 13 15:12:16 2019 GMT
Actions
Copier le lien
 #6

Mis à jour par Quentin Gibeaux il y a presque 6 ans

  • Statut changé de Résolu à Fermé
Actions
Copier le lien

Formats disponibles : Atom PDF