Certificat SSL pour bonnefille.net
Ben voilà, j’ai amélioré mon auto-hébergement : j’ai créé un certificat SSL pour bonnefille.net. J’ai utilisé les services de StartSSL.
Pour la clé, j’ai suivi un tutoriel pour générer un CSR.
Dovecot
J’ai consulté la doc officielle de dovecot pour installer un certificat.
Apache
Un peu de configuration dans apache :
SSLCertificateFile /etc/ssl/certs/bonnefille.net.crt
SSLCertificateKeyFile /etc/ssl/private/bonnefille.net.key
SSLCertificateChainFile /etc/ssl/certs/sub.class1.server.ca.pem
SSLCACertificateFile /etc/ssl/certs/ca.pem
SSLCACertificatePath /etc/ssl/certs/
Attention : les fichiers fournis par StartSSL utilisent des noms génériques (ca.pem
sub.class1.server.ca.pem
).
En les installant tel quels, il y a de fortes chances qu’ils écrasent d’autres fichiers.
Perso, je les ais copié dans /usr/shar/ca-certificates/startssl.com
en les suffixant avec .crt
.
Puis j’ai tiré des liens vers /etc/ssl/certs
en préfixant ces liens avec startssl.
.
Validation avec la commande :
openssl s_client -connect localhost:443
Exim
Config :
MAIN_TLS_ENABLE = yes
MAIN_TLS_CERTIFICATE = /etc/ssl/certs/bonnefille.net.crt
#MAIN_TLS_PRIVATEKEY = /etc/ssl/private/bonnefille.net.key
Exim est très chatouilleux.
Le fichier contenant la clé doit appartenir à root.Debian-exim
.
J’ai donc fait une copie de la clé :
cp /etc/ssl/private/bonnefille.net.key /etc/exim4/exim.key
chown root.Debian-exim /etc/exim4/exim.key
Comme le serveur va être exposé, j’ai purement et simplement supprimé la fonction de relay afin de forcer l’authentification.
Enfin, comme base d’authentification, j’ai fait au plus simple : saslauthd
en installant le paquet sasl2-bin
.
Ca expose les passwords système, mais comme il n’y a pas d’accès au système…
D’autant que ce sont ces passwords qu’utilise dovecot.
http://pkg-exim4.alioth.debian.org/README/README.Debian.etch.html#TLS
Remerciements
Sans oublier le support précieux de JC.