Fedora35 ; Let’s Encryptで証明書取得 , Apache Mail SSL化

2022.05.13

1.SSL証明書を取得する ( Let's Encrypt )

最新のopen sslをインストールしておく

1.1 証明書のインストール

# 初回のみメールアドレスの登録と利用条件への同意が必要
# 受信可能なメールアドレスを指定

「Successfully received certificate.」と表示されれば成功

# メッセージ中に記載の通り [/etc/letsencrypt/live/<FQDN>/] 配下に次の証明書が取得されている
# cert.pem ⇒ SSLサーバー証明書(公開鍵含む)
# chain.pem ⇒ 中間証明書
# fullchain.pem ⇒ cert.pem と chain.pem が結合されたファイル
# privkey.pem ⇒ 公開鍵に対する秘密鍵

※ Webサーバーが稼働していない場合のLet's Encrypt証明書の取得

インターネット側から当作業を実施するサーバーの 80 ポート宛てにアクセス可能であることは前提となります

# [--standalone] 指定で 簡易 Webサーバー機能を使用
# -d [証明書を取得したいFQDN] # FQDN (Fully Qualified Domain Name) : ホスト名.ドメイン名を省略なしで表記
# 証明書を取得したいFQDNが複数ある場合は、-d [証明書を取得したいFQDN] を複数指定

取得済みの証明書を更新する
# 有効期限が 30日未満の証明書を全て更新
# 有効期限の残り日数に関わらず更新したい場合は [--force-renewal] を合わせて指定

1.2 証明書を自動更新 (Let's Encrypt)

①登録前のテスト
まず以下の--dry-runオプションを使って自動更新をテストしてみる。このオプションでは、証明書は更新されずに動作確認のみ実施されるため、証明書の取得回数制限に引っかかる心配もない

②Systemd Timerを利用する

2. Apache のhttps 化

念のため、下記をインストールしておく

2.1 ssl.conf ファイルの編集

Apache を再起動します。
Firewallでhttpsを許可する

2.2 HTTP 通信を HTTPS へリダイレクト

.htaccessを/var/www/html/<FQDN>/ 配下に作成
.htaccessの内容

3. Mail サーバーにSSL/TLS(Let's Encrypt) の設定

3.1 メールサーバー用証明書の取得

メールサーバー用の証明書を取得するが上記と同様の方法では取得できないので「--standalone」オプションをつけて下記のようにしても失敗する。

一度web サーバーを止めてから行うと下記のとおり成功する

3.2 Postfixの設定

3.3 Dovecotの設定

firewallでPort 587を許可する

3.4 Thunderbirdの設定

受信サーバー
Port  :  143
Connection security   :  STARTTLS
Authentication method  :  Normal password
送信サーバー
Port   :  587
Connection security   :  STARTTLS
Authentication method  :  Normal password
タイトルとURLをコピーしました