Instalacja Certyfikatu ssl dla serwera pocztowego DirectAdmin

Opublikowano 6 marca 201818 października 2018 przez Linux

W artykule opisanym poniżej znajduje się pełen opis instalacji certyfikatu ssl dla serwera pocztowego.
Opis został przygotowany dla serwera z panelem Directadmin.

Przyjmijmy że każdy z nas ma już wygenerowany certyfikat i posiadamy 3 pliki.
certyfikat.crt
klucz.key
certyfikatpośredni.crt

Każdy wydawca certyfikatu powinien udostępnić takie właśnie pliki, są one niezbędne do instalacji certyfikatu zarówno dla www jak i serwera pocztowego.

edytujemy niezbędne pliki /etc/exim.key:

nano /etc/exim.cert

1	nano /etc/exim.cert

i wklejamy tam nasz certyfikat który podejżymy w pliku certyfikat.crt który dostaliśmy od wydawcy.

Edytujemy plik /etc/exim.key

nano /etc/exim.key

1	nano /etc/exim.key

i analogiczne wklejamy tam klucz prywatny który podejrzymy w pliku klucz.key od wydawcy.

Kolejnym plikiem jest plik /etc/exim.cacert
zapewne go nie ma więc go stworzymy.

nano /etc/exim.cacert

1	nano /etc/exim.cacert

Tutaj ważna uwaga.

Plik powinien zawierać wklejony na początku certyfikat następnie certyfikaty pośrednie CA.

gdy już wszystko dokładnie kleimy nadajemy uprawnienia na ten plik.

chown mail.mail /etc/exim.cacert

1	chown mail.mail /etc/exim.cacert

Kolejnym krokiem jest edycja pliku konfiguracyjnego exim.conf

nano /etc/exim.conf

1	nano /etc/exim.conf

odnajdujemy:

tls_certificate =

1	tls_certificate =

i ustawiamy całość w podany niżej sposób:

#EDIT#23:
tls_certificate = /etc/exim.certs
tls_privatekey = /etc/exim.key
openssl_options = +no_sslv2 +no_sslv3
tls_require_ciphers = ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:-LOW:-SSLv2:-EXP

#EDIT#23:

tls_certificate = /etc/exim.certs

tls_privatekey = /etc/exim.key

openssl_options = +no_sslv2 +no_sslv3

tls_require_ciphers = ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:-LOW:-SSLv2:-EXP

Mamy już prawie wszystko.
Przenosimy wszystkie ustawienia do odpowiednich plików:

cat /etc/exim.cert>/etc/exim.certs
cat /etc/exim.cacert>>/etc/exim.certs
chown mail.mail /etc/exim.certs

cat /etc/exim.cert>/etc/exim.certs

cat /etc/exim.cacert>>/etc/exim.certs

chown mail.mail /etc/exim.certs

Ostatnim krokiem jest edycja plików konfiguracyjnych dovecot

nano /etc/dovecot/conf/ssl.conf

1	nano /etc/dovecot/conf/ssl.conf

Plik powinien wyglądać następująco:

ssl_cert = </etc/exim.cert
ssl_key = </etc/exim.key
ssl_ca = </etc/exim.cacert

ssl_protocols = !SSLv2 !SSLv3
ssl_cipher_list = ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:-LOW:-SSLv2:-EXP

ssl_cert = </etc/exim.cert

ssl_key = </etc/exim.key

ssl_ca = </etc/exim.cacert

ssl_protocols = !SSLv2 !SSLv3

ssl_cipher_list = ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:-LOW:-SSLv2:-EXP

Pozostało nam zrestartować usługi.

service exim restart

1	service exim restart

service dovecot restart

1	service dovecot restart

To wszystko 😉

W ustawieniach klienta pocztowego jako serwer poczty wychodzącej i przychodzącej nie podajemy mail.domena.pl a jedynie domena.pl
Szyfrowanie SSL
Jako uwierzytelnienie normalne hasło.