INstallation de certificat SSL postfix

Version imprimable

Bonjour,
j'ai installé un serveur de mail postfix , tout fonctionne correctement , sauf que j'aimerai basculé le serveur en SSL/TLS

j'ai donc généré des certificats mais impossible d'utiliser le mode TLS

Voici la config dans /etc/main.cf
Code:

1 2 3 4 5 6 smtpd_use_tls = yes smtpd_tls_auth_only = yes smtpd_tls_key_file = /etc/postfix/ssl/mail.domain.run.key smtpd_tls_cert_file = /etc/postfix/ssl/mail.domain.run.csr #smtpd_tls_CAfile = /etc/postfix/ssl/getacert.cer smtpd_tls_loglevel = 1
j'ai bien les differents fichiers dans /etc/postfix/ssl/
et j'ai cette erreur :
Code:

1 2 3 Nov 21 04:25:00 vm-mail postfix/smtpd[3967]: warning: cannot get RSA certificate from file "/etc/postfix/ssl/mail.domain.run.csr": disabling TLS support Nov 21 04:25:00 vm-mail postfix/smtpd[3967]: warning: TLS library problem: error:0906D06C:PEM routines:PEM_read_bio:no start line:../crypto/pem/pem_lib.c:691:Expecting: TRUSTED CERTIFICATE: Nov 21 04:25:00 vm-mail postfix/smtpd[3967]: warning: TLS library problem: error:140DC009:SSL routines:use_certificate_chain_file:PEM lib:../ssl/ssl_rsa.c:616:
quand je test , j'ai l'erreur suivante :
Code:

1 2 3 4 5 6 7 Trying 127.0.0.1... Connected to localhost. Escape character is '^]'. 220 mail.mondomaine.run ESMTP Postfix (Debian/GNU) starttls 454 4.7.0 TLS not available due to local problem
Pouvez vous m'aider ?
merci d'avance.

21/11/2018, 11h43
Flodelarab
Bonjour :coucou:
Code:

1 2 # recommandé pour rajouter une trace TLS dans les entêtes smtpd_tls_received_header = yes
D'autre part, dans le fichier master.cf, la ligne suivante est-elle décommentée ?

Code:

tlsmgr unix - - n 1000? 1 tlsmgr

As-tu lu et suivi un document officiel de Postfix ?
22/11/2018, 03h32
vodkline
Bonjour,
La ligne

Code:

tlsmgr unix - - n 1000? 1 tlsmgr

est bien décommenté par contre j'ai pas tout à fait la meme ,

voici ce que j'ai

Code:

tlsmgr unix - - y 1000? 1 tlsmgr

j'ai un 'y' à la place du 'n'

j'ai toujours le même problème même avec l’entête tls
Code:

1 2 STARTTLS 454 4.7.0 TLS not available due to local problem

Salut,
Citation:
Envoyé par vodkline
...
Code:

1 2 3 4 5 6 smtpd_use_tls = yes smtpd_tls_auth_only = yes smtpd_tls_key_file = /etc/postfix/ssl/mail.domain.run.key smtpd_tls_cert_file = /etc/postfix/ssl/mail.domain.run.csr #smtpd_tls_CAfile = /etc/postfix/ssl/getacert.cer smtpd_tls_loglevel = 1
j'ai bien les differents fichiers dans /etc/postfix/ssl/
et j'ai cette erreur :
Code:

1 2 3 Nov 21 04:25:00 vm-mail postfix/smtpd[3967]: warning: cannot get RSA certificate from file "/etc/postfix/ssl/mail.domain.run.csr": disabling TLS support Nov 21 04:25:00 vm-mail postfix/smtpd[3967]: warning: TLS library problem: error:0906D06C:PEM routines:PEM_read_bio:no start line:../crypto/pem/pem_lib.c:691:Expecting: TRUSTED CERTIFICATE: Nov 21 04:25:00 vm-mail postfix/smtpd[3967]: warning: TLS library problem: error:140DC009:SSL routines:use_certificate_chain_file:PEM lib:../ssl/ssl_rsa.c:616:
Ce qui m'a tiqué, c'est le fichier de certificat nommé "/etc/postfix/ssl/unmail.domain.run.csr".
Le message d'erreur aussi n'a pas manqué de l’évoquer.
En fait, le .csr est l'extension donné au fichier de demande de certificat. L'extension valide pour le certificat doit etre .crt ou .pem.
Si effectivement tu as dans le répertoire un fichier tondomain.crt ou .pem c'est ce que tu dois donner a postfix.

24/11/2018, 04h16
vodkline
Je n'ai pas de fichier .crt ou .pem

voici ce que j'ai
Code:

1 2 root@vm-mail:/etc/postfix/ssl# ls getacert.cer mail.domain.run.csr mail.domain.run.key rootCA.key
je vais RM tout les fichiers et regenerer des certificat

1) Est ce que le parametre

Code:

#smtpd_tls_CAfile = /etc/postfix/ssl/getacert.cer

est obligatorie ? a quoi ca sert ?
24/11/2018, 12h46
Flodelarab

Donc tu n'as pas lu du tout le lien que je t'ai donné ?

Un certificat certifie le propriétaire d'une clé publique.
Si tu auto-signes le certificat, le certificat ne vaut rien mais fonctionne.
Si tu veux un certificat d'une autorité tierce, cette dernière te demandera de payer pour le service rendu.

Postfix permet de faire toutes les configuration avec un certificat auto-signé.
Mais si tu es un fournisseur public sérieux, tu fera appel à une autorité de certification.

Dans un monde idéal paranoïaque, tout le monde définirait ses tiers de confiance, c'est-à-dire, les gens en qui on fait confiance et ceux dont on rejette l'avis.
Malheureusement, tout le monde vit en confiance et aucun système de sécurité complet n'est mis en place. (Pas l'argent, pas le temps, pas la volonté, etc...).
24/11/2018, 13h50
NVCfrm

Citation:

Envoyé par Flodelarab

Donc tu n'as pas lu du tout le lien que je t'ai donné ?

Je l'avais pas remarque aussi. Masqué par le code des directives de configuration pour un lecteur pressé.

En tout cas le lien répond au problème.
24/11/2018, 13h52
mm_71

Citation:

Si tu veux un certificat d'une autorité tierce, cette dernière te demandera de payer pour le service rendu.

Let’s Encrypt est gratuit.

https://www.anthedesign.fr/hebergeme...t-ssl-gratuit/