|
|
#Let's Encrypt pour tout autres services
|
|
|
|
|
|
**UN PEU DE LOGIQUE:**
|
|
|
|
|
|
*Si Let's Encrypt émet des certificats seulement si le nom de domaine répond, soyons donc complaisant et laissons apache, nginx, lighttpd ... répondre au requête de Let's Encrypt.*
|
|
|
|
|
|
Par exemple ldap.%DOMAIN%.%TLD% ou mail.%DOMAIN%.%TLD%, ...
|
|
|
*Ce tuto fonctionnera donc pour tout les services pouvant être protégé par SSL tant et pour autant que vous ayant un service web qui répond au sous-domaine que vous tentez de protéger.*
|
|
|
|
|
|
**Pour ceux qui sont frileux d'ouvrir ldap et autres services à l'internet**
|
|
|
1' ce n'est pas le service que vous ouvrez à l'internet c'est le sous-domaine, c'est le service web qui répond à la requête.
|
|
|
2' malgré cela vous pouvez bloquez tout le monde sauf let's encrypt via htaccess [htaccess generator](http://toshop.com/go/c.htaccess-generator)
|
|
|
>\<Directory /var/www/html/$SERVICE_A_PROTEGER/>
|
|
|
>Order allow,deny
|
|
|
>Allow from 23.203.59.53 # qui est l'IP de acme-v01.api.letsencrypt.org
|
|
|
>Allow from 127
|
|
|
>\</Directory>
|
|
|
|
|
|
##*Cette solution a été testé avec postfix, dovecot & metronome*
|
|
|
- postfix & dovecot répondant à mail.$DOMAiN.$TLD
|
|
|
- metronome répondant à xmpp.$DOMAIN.$TLD
|
|
|
|
|
|
###Pour postfix & dovecot
|
|
|
|
|
|
###Générer les certificats
|
|
|
>\# /etc/init.d/apache2 stop
|
|
|
>\# /opt/letsencrypt/letsencrypt-auto certonly --standalone --agree-tos --email $ADMIN@itopie.ch -d mail.$domain.$tld --standalone-supported-challenges tls-sni-01
|
|
|
>\# /etc/init.d/apache2 start
|
|
|
|
|
|
###Intégrer au services (postfix & dovecot)
|
|
|
####Confirmer les fichier certificats à remplaçer
|
|
|
>\# cat /etc/postfix/main.cf | grep tls | grep etc
|
|
|
|
|
|
>\# mv /etc/postfix/smtpd.cert smtpd.cert.o
|
|
|
>\# mv /etc/postfix/smtpd.cert smtpd.key.o
|
|
|
|
|
|
>\# ln -s /etc/letsencrypt/live/mail.$domain.$tld/fullchain.pem /etc/postfix/smtpd.cert
|
|
|
>\# ln -s /etc/letsencrypt/live/mail.$domain.$tld/privkey.pem /etc/postfix/smtpd.key
|
|
|
|
|
|
>\# /etc/init.d/postfix restart
|
|
|
>\# /etc/init.d/dovecot restart
|
|
|
|
|
|
*Par défault **Dovecot** utilise les certificats situés dans **/etc/postfix**, mais pour valider*
|
|
|
>\# cat /etc/dovecot/dovecot.conf | grep ssl | grep etc
|
|
|
|
|
|
|
|
|
###Référez-vous à la documentation parente pour le [renouvellement](https://docs.itopie.ch/installation/apache/letsencrypt/?updated#index2h2). |