Outils pour utilisateurs

Outils du site


ateliers:serveurmail:letsencrypt

Pour générer un certificat, nous avons utilisé Let's encrypt.

Afin de générer une clé publique et une clé privée, nous avons installé certbot

  $ apt install certbot

puis généré le certificat

  $ letsencrypt certonly --standalone -d mail.anarcha.pink -d anarcha.pink

L'adresse email connue de let's encrypt : root@anarcha.pink (à changer)

Pour restreindre l'accès au clefs, mais permettre quand même de pouvoir les lire, un groupe ``tls`` doit être créé, et les permissions doivent ensuite être adaptée. Pour donner l'accès aux certificats au services par la suite, il suffira d'ajouter l'utilisateur qui fait tourner le daemon à ce groupe avec la commande ``adduser``.

  $ sudo chgrp tls -R /etc/letsencrypt/
  $ sudo chmod o-r /etc/letsencrypt/archive/mail.anarcha.pink/*

Pour mettre à jour automatiquement le certificat, nous avons fait un script (situé à /usr/local/bin/renewal_mail.anarcha.pink). Il change automatiquement les permissions et éteint et relance les services opensmtpd et dovecot. Ce script est rajouté à la configuration de mise à jour du certificat letsencrypt

/etc/letsencrypt/renewal/mail.anarcha.pink.conf
renew_hook = /usr/local/bin/renewal_mail.anarcha.pink
/usr/local/bin/renewal_mail.anarcha.pink
#!/bin/bash
 
/bin/chmod g-r,o-r /etc/letsencrypt/archive/mail.anarcha.pink/*
/bin/systemctl stop opensmtpd dovecot
/bin/systemctl start opensmtpd dovecot
ateliers/serveurmail/letsencrypt.txt · Dernière modification: 2018/06/27 17:34 par okhin