Discussion :

[vodkline]

Bonjour,
j'ai installé un serveur de mail postfix , tout fonctionne correctement , sauf que j'aimerai basculé le serveur en SSL/TLS

j'ai donc généré des certificats mais impossible d'utiliser le mode TLS

Voici la config dans /etc/main.cf

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
smtpd_use_tls = yes
smtpd_tls_auth_only = yes
smtpd_tls_key_file = /etc/postfix/ssl/mail.domain.run.key
smtpd_tls_cert_file = /etc/postfix/ssl/mail.domain.run.csr
#smtpd_tls_CAfile = /etc/postfix/ssl/getacert.cer
smtpd_tls_loglevel = 1

j'ai bien les differents fichiers dans /etc/postfix/ssl/
et j'ai cette erreur :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
Nov 21 04:25:00 vm-mail postfix/smtpd[3967]: warning: cannot get RSA certificate from file "/etc/postfix/ssl/mail.domain.run.csr": disabling TLS support
Nov 21 04:25:00 vm-mail postfix/smtpd[3967]: warning: TLS library problem: error:0906D06C:PEM routines:PEM_read_bio:no start line:../crypto/pem/pem_lib.c:691:Expecting: TRUSTED CERTIFICATE:
Nov 21 04:25:00 vm-mail postfix/smtpd[3967]: warning: TLS library problem: error:140DC009:SSL routines:use_certificate_chain_file:PEM lib:../ssl/ssl_rsa.c:616:

quand je test , j'ai l'erreur suivante :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
 
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
220 mail.mondomaine.run ESMTP Postfix (Debian/GNU)
starttls
454 4.7.0 TLS not available due to local problem

Pouvez vous m'aider ?
merci d'avance.

[Flodelarab]

Bonjour

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
# recommandé pour rajouter une trace TLS dans les entêtes
smtpd_tls_received_header = yes

D'autre part, dans le fichier master.cf, la ligne suivante est-elle décommentée ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

tlsmgr    unix  -       -       n       1000?   1       tlsmgr

As-tu lu et suivi un document officiel de Postfix ?

[vodkline]

Bonjour,
La ligne

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

tlsmgr    unix  -       -       n       1000?   1       tlsmgr

est bien décommenté par contre j'ai pas tout à fait la meme ,

voici ce que j'ai

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

tlsmgr    unix  -       -       y       1000?   1       tlsmgr

j'ai un 'y' à la place du 'n'

j'ai toujours le même problème même avec l’entête tls

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
STARTTLS
454 4.7.0 TLS not available due to local problem

[NVCfrm]

Salut,

...

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
smtpd_use_tls = yes
smtpd_tls_auth_only = yes
smtpd_tls_key_file = /etc/postfix/ssl/mail.domain.run.key
smtpd_tls_cert_file = /etc/postfix/ssl/mail.domain.run.csr
#smtpd_tls_CAfile = /etc/postfix/ssl/getacert.cer
smtpd_tls_loglevel = 1

j'ai bien les differents fichiers dans /etc/postfix/ssl/
et j'ai cette erreur :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
Nov 21 04:25:00 vm-mail postfix/smtpd[3967]: warning: cannot get RSA certificate from file "/etc/postfix/ssl/mail.domain.run.csr": disabling TLS support
Nov 21 04:25:00 vm-mail postfix/smtpd[3967]: warning: TLS library problem: error:0906D06C:PEM routines:PEM_read_bio:no start line:../crypto/pem/pem_lib.c:691:Expecting: TRUSTED CERTIFICATE:
Nov 21 04:25:00 vm-mail postfix/smtpd[3967]: warning: TLS library problem: error:140DC009:SSL routines:use_certificate_chain_file:PEM lib:../ssl/ssl_rsa.c:616:

Ce qui m'a tiqué, c'est le fichier de certificat nommé "/etc/postfix/ssl/unmail.domain.run.csr".
Le message d'erreur aussi n'a pas manqué de l’évoquer.
En fait, le .csr est l'extension donné au fichier de demande de certificat. L'extension valide pour le certificat doit etre .crt ou .pem.
Si effectivement tu as dans le répertoire un fichier tondomain.crt ou .pem c'est ce que tu dois donner a postfix.

[vodkline]

Je n'ai pas de fichier .crt ou .pem

voici ce que j'ai

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
root@vm-mail:/etc/postfix/ssl# ls
getacert.cer  mail.domain.run.csr  mail.domain.run.key  rootCA.key

je vais RM tout les fichiers et regenerer des certificat

1) Est ce que le parametre

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

#smtpd_tls_CAfile = /etc/postfix/ssl/getacert.cer

est obligatorie ? a quoi ca sert ?

[Flodelarab]

Donc tu n'as pas lu du tout le lien que je t'ai donné ?


Un certificat certifie le propriétaire d'une clé publique.
Si tu auto-signes le certificat, le certificat ne vaut rien mais fonctionne.
Si tu veux un certificat d'une autorité tierce, cette dernière te demandera de payer pour le service rendu.

Postfix permet de faire toutes les configuration avec un certificat auto-signé.
Mais si tu es un fournisseur public sérieux, tu fera appel à une autorité de certification.


Dans un monde idéal paranoïaque, tout le monde définirait ses tiers de confiance, c'est-à-dire, les gens en qui on fait confiance et ceux dont on rejette l'avis.
Malheureusement, tout le monde vit en confiance et aucun système de sécurité complet n'est mis en place. (Pas l'argent, pas le temps, pas la volonté, etc...).

[NVCfrm]

Donc tu n'as pas lu du tout le lien que je t'ai donné ?

Je l'avais pas remarque aussi. Masqué par le code des directives de configuration pour un lecteur pressé.

En tout cas le lien répond au problème.

[mm_71]

Si tu veux un certificat d'une autorité tierce, cette dernière te demandera de payer pour le service rendu.

Let’s Encrypt est gratuit.

https://www.anthedesign.fr/hebergeme...t-ssl-gratuit/