Ben voilà, j’ai amélioré mon auto-hébergement : j’ai créé un certificat SSL pour bonnefille.net. J’ai utilisé les services de StartSSL.

Pour la clé, j’ai suivi un tutoriel pour générer un CSR.

Dovecot

J’ai consulté la doc officielle de dovecot pour installer un certificat.

Apache

Un peu de configuration dans apache :

SSLCertificateFile    /etc/ssl/certs/bonnefille.net.crt
SSLCertificateKeyFile /etc/ssl/private/bonnefille.net.key
SSLCertificateChainFile /etc/ssl/certs/sub.class1.server.ca.pem
SSLCACertificateFile  /etc/ssl/certs/ca.pem
SSLCACertificatePath /etc/ssl/certs/

Attention : les fichiers fournis par StartSSL utilisent des noms génériques (ca.pem sub.class1.server.ca.pem). En les installant tel quels, il y a de fortes chances qu’ils écrasent d’autres fichiers. Perso, je les ais copié dans /usr/shar/ca-certificates/startssl.com en les suffixant avec .crt. Puis j’ai tiré des liens vers /etc/ssl/certs en préfixant ces liens avec startssl..

Validation avec la commande :

openssl s_client -connect localhost:443

Exim

Config :

MAIN_TLS_ENABLE = yes
MAIN_TLS_CERTIFICATE = /etc/ssl/certs/bonnefille.net.crt
#MAIN_TLS_PRIVATEKEY = /etc/ssl/private/bonnefille.net.key

Exim est très chatouilleux. Le fichier contenant la clé doit appartenir à root.Debian-exim. J’ai donc fait une copie de la clé :

cp /etc/ssl/private/bonnefille.net.key /etc/exim4/exim.key
chown root.Debian-exim /etc/exim4/exim.key

Comme le serveur va être exposé, j’ai purement et simplement supprimé la fonction de relay afin de forcer l’authentification.

Enfin, comme base d’authentification, j’ai fait au plus simple : saslauthd en installant le paquet sasl2-bin. Ca expose les passwords système, mais comme il n’y a pas d’accès au système… D’autant que ce sont ces passwords qu’utilise dovecot.

http://pkg-exim4.alioth.debian.org/README/README.Debian.etch.html#TLS

Remerciements

Sans oublier le support précieux de JC.