Certificat SSL pour bonnefille.net

  |   Source

Ben voilà, j'ai amélioré mon auto-hébergement : j'ai créé un certificat SSL pour bonnefille.net. J'ai utilisé les services de StartSSL.

Pour la clé, j'ai suivi un tutoriel pour générer un CSR.

Apache

Un peu de configuration dans apache :

SSLCertificateFile    /etc/ssl/certs/bonnefille.net.crt
SSLCertificateKeyFile /etc/ssl/private/bonnefille.net.key
SSLCertificateChainFile /etc/ssl/certs/sub.class1.server.ca.pem
SSLCACertificateFile  /etc/ssl/certs/ca.pem
SSLCACertificatePath /etc/ssl/certs/

Attention : les fichiers fournis par StartSSL utilisent des noms génériques (ca.pem sub.class1.server.ca.pem). En les installant tel quels, il y a de fortes chances qu'ils écrasent d'autres fichiers. Perso, je les ais copié dans /usr/shar/ca-certificates/startssl.com en les suffixant avec .crt. Puis j'ai tiré des liens vers /etc/ssl/certs en préfixant ces liens avec startssl..

Validation avec la commande :

openssl s_client -connect localhost:443

Exim

Config :

MAIN_TLS_ENABLE = yes
MAIN_TLS_CERTIFICATE = /etc/ssl/certs/bonnefille.net.crt
#MAIN_TLS_PRIVATEKEY = /etc/ssl/private/bonnefille.net.key

Exim est très chatouilleux. Le fichier contenant la clé doit appartenir à root.Debian-exim. J'ai donc fait une copie de la clé :

cp /etc/ssl/private/bonnefille.net.key /etc/exim4/exim.key
chown root.Debian-exim /etc/exim4/exim.key

Comme le serveur va être exposé, j'ai purement et simplement supprimé la fonction de relay afin de forcer l'authentification.

Enfin, comme base d'authentification, j'ai fait au plus simple : saslauthd en installant le paquet sasl2-bin. Ca expose les passwords système, mais comme il n'y a pas d'accès au système... D'autant que ce sont ces passwords qu'utilise dovecot.

http://pkg-exim4.alioth.debian.org/README/README.Debian.etch.html#TLS

Remerciements

Sans oublier le support précieux de JC.