Certificats SSL appropriés pour Postfix et Dovecot - Debian 6.0 Squeeze
Rédigé par Marc GUILLAUME | Aucun commentaireChoisir un certificat SSL pour Postfix et Dovecot.
Lors des tests vous avez dû recevoir des avertissements à propos des certificats SSL que vous utilisez avec Postfix, Dovecot et l'interface mail RoundCube. SSL/TLS est un très bon moyen de chiffrer les mots de passe entre l'utilisateur et le serveur de courrier. Pour que cela fonctionne sans problème il faut avoir des certificats appropriés. Il y a trois façons de gérer votre ou vos certificats :
Soit : laissez-le tel qu'il est
Les utilisateurs recevront un message leur annonçant que le certificat est invalide et sans doute n'a pas été émis pour le nom canonique du serveur.
- Avantages : idéal pour les paresseux, aucun coût,
- Désavantages : quelques clients de courrier vont refuser le certificat parce qu'il n'est pas établi au nom du serveur,
- Conclusion : ne faites cela que si vous vous fichez des désavantages
ou : Créez un certificat auto-signé
Cela présentera au moins l'avantage de fournir à vos utilisateurs un certificat établi pour le nom du serveur.
- Avantages : un peu de travail, aucun coût,
- Désavantages : vous habituez vos utilisateurs à accepter n'importe quel certificat (même un malicieux),
- Conclusion : faites cela si vous avez un très petit groupe d'utilisateurs que vous pouvez informer à propos du certificat.
La création de certificats SSL peut être délicate à cause de la syntaxe de la ligne de commande openssl qui parfois me rappelle des déboires passés.
Note du traducteur : J'ai traduit sur ce site divers documents concernant SSL et l'usage des certificats, dont le guide complet de création d'un certificat auto-signé et de son utilisation, créé par Marcus Redivo. Les étapes de création y sont beaucoup plus détaillées qu'ici, chaque option de création y est discutée ainsi que la procédure pour créer un certificat racine d'autorité qui permette de signer les certificats SSL des serveurs. Y sont bien entendu abordés les avantages, inconvénients et limites de ces certificats maison.
Dovecot
Voici les commandes pour créer un certificat pour Dovecot :
openssl req -new -x509 -days 3650 -nodes -out /etc/ssl/certs/dovecot.pem -keyout /etc/ssl/private/dovecot.pem
Ce que vous saisissez dans les champs est entièrement de votre choix. La seule exception notable est le Common Name qui doit correspondre exactement au nom de serveur par lequel les utilisateurs vont accéder à votre machine. Si vous demandez à vos utilisateurs d'utiliser le nom mail.example.com c'est ce nom qui doit être entré ici. Dans cet exemple ce certificat aura une durée de validité de 10 ans (10 fois 365 jours).
N'oubliez pas de fixer les permissions sur la clé privée pour qu'aucun utilisateur non autorisé ne puisse la lire :
chmod o= /etc/ssl/private/dovecot.pem
Vous devez redémarrer Dovecot pour qu'il prenne en compte votre nouveau certificat :
/etc/init.d/dovecot restart
Postfix
Voici les commandes pour créer un certificat utilisable par Postfix :
openssl req -new -x509 -days 3650 -nodes -out /etc/ssl/certs/postfix.pem -keyout /etc/ssl/private/postfix.pem
N'oubliez pas de régler les autorisations de lecture de la clé privée :
chmod o= /etc/ssl/private/postfix.pem
Vous devez indiquer à Postfix où trouver votre certificat et votre clé privée car par défaut il cherche un certificat factice appelé ssl-cert-snakeoil (ndt : « snake oil » que l'on peut traduire par « remède de charlatan »).
postconf -e smtpd_tls_cert_file=/etc/ssl/certs/postfix.pem postconf -e smtpd_tls_key_file=/etc/ssl/private/postfix.pem
Ou bien : Utilisez une autorité de certification gratuite
- Avantages : un peu de travail, aucun coût,
- Désavantages : ces autorités de certification ne sont pas incluses dans la configuration de tous les clients de mail,
- Conclusion : si vous ne voulez pas (ou ne pouvez pas) dépenser d'argent c'est la meilleure solution.
Il existe quelques rares sites de ce genre. J'ai eu de bonnes expériences avec StartSSL bien que leur site soit parfois un peu confus. Une fois que vous avez créé une clé et un certificat vous pouvez les utiliser de la même façon que les certificats auto-signés de la section précédente.
Ou encore : achetez un certificat SSL
- Avantages : ce certificat sera automatiquement accepté par tous les clients de courrier des utilisateurs,
- Désavantages : vous balancez à la « mafia des certificats » beaucoup d'argent qu'elle ne mérite pas,
- Conclusion : faites cela si vous faites tourner un serveur de mail public professionnel.
Honnêtement je n'ai aimé aucune des autorités de certification avec lesquelles j'ai eu l'occasion d'être en contact. Donc essayez de choisir celle qui vous paraît la « moins pire ».