Identifiants personnels


Moi ... Moi ... et re Moi
« [UBUNTU] Compiler Flvtool2   Informatique  [SPIP] Spip.ici.ous »

[Serveur] Certificats Postfix et Courier pop/imap pour la gestion du TLS

dimanche 1er mars 2009, modifié le 2 mars 2009, par Quentin Drouet

Sur nos serveurs, nous utilisons le couple Postfix / Courier pour gérer les mails.

Dans le cas ou l’utilisateur souhaite utiliser TLS (Transport Layer Security) afin de sécuriser sa connection au serveur, dans son logiciel de consultation de mail (Mozilla thunderbird, Apple .mail ou autre Outlook par exemple), à la fois pour la réception (Courier Imap ou Pop3) ou pour l’envoi (Postfix smtp) celui-ci lui renvoit un certificat que l’utilisateur doit valider pour accéder à ses emails.

Par défaut ces certificats contiennent des informations erronées... Il est donc intéressant de les regénérer.

Note : Cet article a été réalisé à partir de distributions Ubuntu Server 8.10

Configuration pour Courier IMAP/POP3

Supprimer les anciens certificats

Modifier les configurations pour la génération

Il est nécessaires de modifier les configurations de génération des certificats. Elles se trouvent dans les fichiers /etc/courier/imapd.cnf pour le serveur imap et /etc/courier/pop3d.cnf pour le serveur pop3.

Voici comment modifier un des fichiers (ici celui pour imap) :

Modifier la partie [ req_dn ] du fichier qui devra ressembler à quelque chose comme ceci (pour notre serveur arscenic.org) :

Il faut faire exactement de même pour le fichier /etc/courier/pop3d.cnf.

Regénération des certificats

La regénération des certificats se fait de la sorte :

Les certificats sont alors créés dans le répertoire /usr/lib/courier/ (il peut être différent mais est indiqué lors de la génération) :

  • /usr/lib/courier/pop3d.pem
  • /usr/lib/courier/imapd.pem

Vérifiez dans les fichiers de configuration des serveurs, le chemin vers les certificats soit le bon :

  • Dans le fichier /etc/courier/imapd-ssl vérifiez la présence de la ligne suivante :
  • Dans le fichier /etc/courier/pop3d-ssl vérifiez la présence de la ligne suivante :

Redémarrage des serveurs

Il ne reste plus qu’a redémarrer les serveurs :

Normalement, lorsque vous redémarrerez votre logiciel de consultation d’emails, le nouveau certificat devra comprendre les données que vous avez saisies dans les deux fichiers de configuration.

Ces certificats ne sont pas considérés comme fiables par les logiciels car ils ne proviennent pas des grands organismes de gestion de certificats tels Verisign ou Thawte par exemple...

Mais compte tenu des tarifs de ces entreprises, cette méthode suffit dans la grande majorité des cas.

Configuration pour Postfix

Création des répertoires adéquats et de la clé RSA

Génération du certicicat

On génère les données qui seront utilisées par le certificat par cette commande :

Plusieurs questions vous sont alors posées, pour le même serveur, nous avons répondu comme suit :

Ensuite, il est nécessaire de générer le certificat lui-même :

Les mêmes questions qu’auparavant vous seront posées.... Répondez de la même manière...

Modification de la configuration de Postfix pour la gestion du TLS

Ouvrez le fichier /etc/postfix/main.cf et ajoutez y ces lignes :

sudo adduser postfix sasl

Répondre à cet article


commentaires fermes
Propulsé par : SPIP 2.1.26 SVN [21335]