19-08

Courier-pop-ssl, Courier-imap-ssl, installer un certificat SSL CACert

Tags: CACert | Courier | Imap | Pop | SSL
Si vous aussi pour lire vos mails vous utilisez courier en mode SSL, vous souhaiterez peut-être utiliser un certificat SSL certifié par une autorité de certification (CA). CACert est très répendu depuis quelques années et fournis des certificats SSL valides gratuitement. Ce billet fonctionne à partir du moment où vous avez déjà installé correctement un certificat Self-Signed à l'aide des binaires mkimapdcert et mkpop3dcert, qui vous a donc généré 2 certificats SSL, imapd.pem et pop3d.pem. Rendez-vous sur le site de CACert : CACert.org et créez vous un compte. Une fois votre compte validé, vous allez devoir ajouter un domaine à certifier (Section : Domain > Add). Ajoutez et validez votre domaine. Ensuite il va vous falloir ajouter un Server Certificates. Cliquez sur "New", CACert vous demande alors votre fichier csr Retournez sur votre serveur. 
cd /etc/courier/
# Creez un dossier nommé ssl
mkdir ssl
cd ssl/
# Générez d'abord votre fichier de key
openssl genrsa -des3 -out courier.key 2048
# Entrez une passphrase et retenez-la.
# Générez ensuite votre CSR
openssl req -new -key courier.key -out courier.csr
Donnez ensuite à CACert le contenu du fichier CSR. CACert va alors vous donner le fichier CRT tant attendu. Mettez le dans un fichier courier.crt Nous allons en profiter pour supprimer la passphrase du fichier de key qui vous sera demandé à chaque redémarrage du démon. 
# Suppression de la passphrase du fichier key
openssl rsa -in courier.key -out courier.deprotected.key
Entrez votre passphrase et le tour est joué. Maintenant nous allons généré le fichier pem. 
cat courier.crt courier.deprotected.key > courier.pem
# Génération du dh
openssl gendh >> courier.pem
Voilà, votre certificat est maintenant prêt à être utilisé : 
cp courier.pem ../imapd.pem
cp courier.pem ../pop3d.pem
Il ne vous reste plus qu'à relancer les services et de vérifier que le tout fonctionne correctement dans votre client mail. 
# Redémarrage de Pop3
/etc/init.d/courier-pop-ssl restart
Stopping Courier POP3-SSL server: pop3d-ssl.
Starting Courier POP3-SSL server: pop3d-ssl.
# Redémarrage de Imap
/etc/init.d/courier-imap-ssl restart
Stopping Courier IMAP-SSL server: imapd-ssl.
Starting Courier IMAP-SSL server: imapd-ssl.

 

 

2 Commentaires pour ce billet.

 

 

  1. jo a dit, le 11 Feb 2015 10:15

    merci pour ce tuto, très utile alors qu'il a quelques années!

  2. Neofeat a dit, le 08 Jun 2015 14:21

    Attention toutefois au fichier .pem généré.

    L'écriture se fait mal, et fait planter courier-imap-ssl avec un message du genre :
    error:0906D066:PEM routines:PEM_read_bio:bad end line

    il manque parfois un saut de ligne entre -----END CERTIFICATE----- et -----BEGIN RSA PRIVATE KEY-----.

    Pour info

 

Votre commentaire