{ "version": "https:\/\/jsonfeed.org\/version\/1.1", "title": "Воронин: заметки с тегом certbot", "_rss_description": "воронин, voronin, it", "_rss_language": "ru", "_itunes_email": "", "_itunes_categories_xml": "", "_itunes_image": "", "_itunes_explicit": "", "home_page_url": "https:\/\/voronin.one\/tags\/certbot\/", "feed_url": "https:\/\/voronin.one\/tags\/certbot\/json\/", "icon": "https:\/\/voronin.one\/pictures\/userpic\/userpic@2x.jpg?1658757233", "authors": [ { "name": "Алексей Воронин", "url": "https:\/\/voronin.one\/", "avatar": "https:\/\/voronin.one\/pictures\/userpic\/userpic@2x.jpg?1658757233" } ], "items": [ { "id": "42", "url": "https:\/\/voronin.one\/all\/vypuskaem-sertifikat-lets-encrypt-i-nastraivaem-avtomaticheskiy\/", "title": "Выпускаем сертификат Let’s encrypt и настраиваем автоматический перевыпуск в iRedMail", "content_html": "

устанавливаем certbot<\/p>\n

sudo apt update\nsudo apt install certbot<\/code><\/pre>
запрашиваем новый сертификат для домена mail.{domain}.ru<\/p>\n
sudo certbot certonly --webroot --agree-tos --email postmaster@{domain}.ru -d mail.{domain}.ru -w \/var\/www\/html\/<\/code><\/pre>
открываем конфиги nginx и если нужно вносим изменения, сначала для http<\/p>\n
sudo mcedit \/etc\/nginx\/sites-enabled\/00-default.conf<\/code><\/pre>
убедились, чтобы эти поля были раскомментированы<\/p>\n
enable listen [::]:80;<\/code><\/pre>
затем для https<\/p>\n
sudo mcedit \/etc\/nginx\/sites-enabled\/00-default-ssl.conf<\/code><\/pre>
убедились, чтобы эти поля были раскомментированы<\/p>\n
add listen [::]:443 ssl http2;<\/code><\/pre>
проверяем правильность конфига<\/p>\n
sudo nginx -t<\/code><\/pre>
перечитываем изменения службой nginx<\/p>\n
sudo systemctl reload nginx<\/code><\/pre>
редактируем поти к сертификатам, самоподписанные меняем на let’s encrypt<\/p>\n
sudo mcedit \/etc\/nginx\/templates\/ssl.tmpl<\/code><\/pre>
находим<\/p>\n
ssl_certificate \/etc\/ssl\/certs\/iRedMail.crt;\nssl_certificate_key \/etc\/ssl\/private\/iRedMail.key;<\/code><\/pre>
меняем на это<\/p>\n
ssl_certificate \/etc\/letsencrypt\/live\/mail.{domain}.ru\/fullchain.pem;\nssl_certificate_key \/etc\/letsencrypt\/live\/mail.{domain}.ru\/privkey.pem;<\/code><\/pre>
проверяем правильность конфига<\/p>\n
sudo nginx -t<\/code><\/pre>
перечитываем изменения службой nginx<\/p>\n
sudo systemctl reload nginx<\/code><\/pre>
правим кофиг postfix<\/p>\n
sudo mcedit \/etc\/postfix\/main.cf<\/code><\/pre>
находим<\/p>\n
smtpd_tls_key_file = \/etc\/ssl\/private\/iRedMail.key\nsmtpd_tls_cert_file = \/etc\/ssl\/certs\/iRedMail.crt\nsmtpd_tls_CAfile = \/etc\/ssl\/certs\/iRedMail.crt<\/code><\/pre>
заменяем<\/p>\n
smtpd_tls_key_file = \/etc\/letsencrypt\/live\/mail.{domain}.ru\/privkey.pem\nsmtpd_tls_cert_file = \/etc\/letsencrypt\/live\/mail.{domain}.ru\/cert.pem\nsmtpd_tls_CAfile = \/etc\/letsencrypt\/live\/mail.{domain}.ru\/chain.pem<\/code><\/pre>
перечитываем изменения службой postfix<\/p>\n
sudo systemctl reload postfix<\/code><\/pre>
правим другой кофиг postfix, указываем на необходимость использования tls<\/p>\n
sudo mcedit \/etc\/postfix\/master.cf<\/code><\/pre>
добавляем<\/p>\n
465     inet  n       -       n       -       -       smtpd\n  -o syslog_name=postfix\/smtps\n  -o smtpd_tls_wrappermode=yes\n  -o smtpd_sasl_auth_enable=yes\n  -o smtpd_client_restrictions=permit_sasl_authenticated,reject\n  -o content_filter=smtp-amavis:[127.0.0.1]:10026<\/code><\/pre>
перечитываем изменения службой postfix<\/p>\n
sudo systemctl reload postfix<\/code><\/pre>
правим конфиг dovecot<\/p>\n
sudo mcedit \/etc\/dovecot\/dovecot.conf<\/code><\/pre>
находим<\/p>\n
ssl_cert = <\/etc\/ssl\/certs\/iRedMail.crt\nssl_key = <\/etc\/ssl\/private\/iRedMail.key<\/code><\/pre>
заменяем<\/p>\n
ssl_cert = <\/etc\/letsencrypt\/live\/mail.{domain}.ru\/fullchain.pem\nssl_key = <\/etc\/letsencrypt\/live\/mail.{domain}.ru\/privkey.pem<\/code><\/pre>
перечитываем изменения службой dovecot<\/p>\n
sudo systemctl reload dovecot<\/code><\/pre>
осталось добавить в ротацию перевыпуск сертификата, для этого редактируем crontab<\/p>\n
sudo crontab -e<\/code><\/pre>
add<\/p>\n
# перевыпуск сертификатов Let's Encrypt\n43 3 9 * * \/usr\/bin\/certbot renew --post-hook "\/usr\/bin\/systemctl reload nginx; \/usr\/bin\/systemctl reload dovecot; \/usr\/bin\/systemctl reload postfix"\n45 3 9 * * \/usr\/sbin\/service nginx reload\n46 3 9 * * \/usr\/sbin\/service postfix reload\n47 3 9 * * \/usr\/sbin\/service dovecot reload<\/code><\/pre>
не забудьте оставить пустую строку в конце (такие требования синтаксиса crontab)<\/p>\n",
            "date_published": "2023-05-03T13:16:05+03:00",
            "date_modified": "2023-05-03T13:15:52+03:00",
            "tags": [
                "certbot",
                "iRedMail",
                "Let’s encrypt"
            ],
            "_date_published_rfc2822": "Wed, 03 May 2023 13:16:05 +0300",
            "_rss_guid_is_permalink": "false",
            "_rss_guid": "42",
            "_e2_data": {
                "is_favourite": false,
                "links_required": [
                    "highlight\/highlight.js",
                    "highlight\/highlight.css"
                ],
                "og_images": []
            }
        }
    ],
    "_e2_version": 4171,
    "_e2_ua_string": "Aegea 11.4 (v4171)"
}