Doküman

Let’s Encrypt SSL Sertifikası ile Güvenli iRedMail Sunucusu

iRedMail’in varsayılan yüklemesi, Posta hizmetleri için – TLS üzerinden POP3/IMAP/SMTP ve web posta hizmetlerine HTTPS erişimi için kendinden imzalı bir SSL sertifikası oluşturur ve kurar.

Kendinden imzalı bir sertifika kullanırken, genellikle kullanılan sertifikanın güvenilir olmadığına dair uyarı mesajları alırsınız. Bu can sıkıcı mesajlardan kaçınmak için, SSL sertifika sağlayıcısından bir SSL sertifikası satın almanız veya ücretsiz Let’s Encrypt sertifikası almanız önerilir.

Bu yazıda, iRedMail hizmetlerimizin güvenliğini sağlamak için ücretsiz Let’s Encrypt SSL sertifikası kullanacağız. Let’s Encrypt SSL sertifikası alabilmeniz için sunucunuzun genel bir IP adresine ve IP’yi gösteren bir DNS kaydına sahip olması gerekir.

Adım 1: Let’s Encrypt Sertifikasını Alın

Let’s Encrypt SSL sertifikası almak için kullanılacak certbot aracını yükleyin.

# Install certbot on Ubuntu /Debian sudo apt update
sudo apt install certbot

# Install certbot on CentOS / Rocky sudo yum -y install epel-release
sudo yum -y install certbot

certbot-auto aracını kurduktan sonra, iRedMail sunucusu için e-posta adresini ve etki alanını kaydedin.

DOMAIN="mail.computingforgeeks.com"
EMAIL="[email protected]"

Nginx hizmetini durdurun.

sudo systemctl stop nginx

iRedMail posta sunucusu için ücretsiz Let’s Encrypt sertifikası edinin.

sudo certbot certonly --standalone -d $DOMAIN --preferred-challenges http --agree-tos -n -m $EMAIL --keep-until-expiring

Let’s Encrypt için standart başarılı mesaj, sertifikalarınıza giden yolu verir.

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/mail.computingforgeeks.com/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/mail.computingforgeeks.com/privkey.pem
   Your cert will expire on 2020-01-23. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot-auto
   again. To non-interactively renew *all* of your certificates, run
   "certbot-auto renew"
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

Adım 2: iRedMail Kendinden İmzalı sertifikalarını değiştirin

iRedMail.crt kendinden imzalı sertifikayı ve Özel anahtarı yeniden adlandırın.

sudo mv /etc/pki/tls/certs/iRedMail.crt{,.bak}
sudo mv /etc/pki/tls/private/iRedMail.key{,.bak}

Let’s Encrypt sertifikası ve özel anahtar için bir sembolik bağlantı oluşturun.

sudo ln -sf /etc/letsencrypt/live/
            $DOMAIN/fullchain.pem /etc/pki/tls/certs/iRedMail.crt
sudo ln -sf  /etc/letsencrypt/live/
            $DOMAIN/privkey.pem /etc/pki/tls/private/iRedMail.key

Hizmetlerin yeni sertifika kullanması için iRedMail sunucunuzu yeniden başlatın.

sudo reboot

Adım 3: Sertifikayı Otomatik Yenilemeye Ayarlayın

Let’s Encrypt sertifikalarını otomatik olarak yenilemek için bir cron işi oluşturun:

$ sudo crontab -e
# Renew Let's Encrypt certs
15 3 * * * /usr/bin/certbot renew --pre-hook "systemctl stop nginx" --post-hook "systemctl start nginx"

Let’s Encrypt SSL sertifikasını ekledikten sonra, posta istemci uygulaması (MUA, örn. Outlook, Thunderbird) sizi geçersiz sertifika konusunda uyarmamalıdır.

Yazının orijinalini buradan okuyabilirsiniz.