Rocky Linux8.6 : Let's Encrypt , Apache Mail SSL化

1.SSL証明書を取得する ( Let's Encrypt )

最新のopen sslをインストールしておく

# dnf install openssl-devel

1.1 証明書のインストール

# dnf -y install certbot
# certbot certonly --webroot -w /var/www/html/[ドメイン名] -d [ドメイン名]
# 初回のみメールアドレスの登録と利用条件への同意が必要
# 受信可能なメールアドレスを指定
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator webroot, Installer None
Enter email address (used for urgent renewal and security notices)
(Enter 'c' to cancel):<Email-address>
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Please read the Terms of Service at
https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf. You must
agree in order to register with the ACME server. Do you agree?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o: y
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Would you be willing, once your first certificate is successfully issued, to
share your email address with the Electronic Frontier Foundation, a founding
partner of the Let's Encrypt project and the non-profit organization that
develops Certbot? We'd like to send you email about our work encrypting the web,
EFF news, campaigns, and ways to support digital freedom.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o: y
Account registered.
Requesting a certificate for <Domain name>
Performing the following challenges:
http-01 challenge for <Domain name>
Using the webroot path /var/www/html/<Domain name> for all unmatched domains.
Waiting for verification...
Cleaning up challenges
Subscribe to the EFF mailing list (email: <Email-address>).
We were unable to subscribe you the EFF mailing list because your e-mail address appears to be invalid. You can try again later by visiting https://act.eff.org.
IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at:
/etc/letsencrypt/live/<Domain name>/fullchain.pem
Your key file has been saved at:
/etc/letsencrypt/live/<Domain name>/privkey.pem
Your certificate will expire on 2022-08-27. To obtain a new or
tweaked version of this certificate in the future, simply run
certbot again. To non-interactively renew *all* of your
certificates, run "certbot renew"
- If you like Certbot, please consider supporting our work by:
Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le
「Congratulations! Your certificate and chain have been saved at:」と表示されれば成功

# メッセージ中に記載の通り [/etc/letsencrypt/live/<Domain name>/] 配下に次の証明書が取得されている
# cert.pem ⇒ SSLサーバー証明書(公開鍵含む)
# chain.pem ⇒ 中間証明書
# fullchain.pem ⇒ cert.pem と chain.pem が結合されたファイル
# privkey.pem ⇒ 公開鍵に対する秘密鍵

※ Webサーバーが稼働していない場合のLet's Encrypt証明書の取得

インターネット側から当作業を実施するサーバーの 80 ポート宛てにアクセス可能であることは前提となります

# [--standalone] 指定で 簡易 Webサーバー機能を使用
# -d [証明書を取得したいFQDN] # FQDN (Fully Qualified Domain Name) : ホスト名.ドメイン名を省略なしで表記
# 証明書を取得したいFQDNが複数ある場合は、-d [証明書を取得したいFQDN] を複数指定

# certbot certonly --standalone -d <Domain name>

取得済みの証明書を更新する
# 有効期限が 30日未満の証明書を全て更新
# 有効期限の残り日数に関わらず更新したい場合は [--force-renewal] を合わせて指定

# certbot  [--force-renewal]  renew

1.2 証明書を自動更新 (Let's Encrypt)

①登録前のテスト
まず以下の--dry-runオプションを使って自動更新をテストしてみる。このオプションでは、証明書は更新されずに動作確認のみ実施されるため、証明書の取得回数制限に引っかかる心配もない

#certbot renew --dry-run

②Systemd Timerを利用する

# systemctl cat certbot-renew.timer
# /usr/lib/systemd/system/certbot-renew.timer
[Unit] Description=This is the timer to set the schedule for automated renewals
[Timer] OnCalendar=*-*-* 00/12:00:00
RandomizedDelaySec=12hours
Persistent=true
[Install] WantedBy=timers.target
# systemctl enable --now certbot-renew.timer
# systemctl list-timers certbot-renew.timer
NEXT LEFT LAST PASSED UNIT ACTIVATES
Fri 2022-06-10 15:17:07 JST 4h 39min left n/a n/a certbot-renew.timer certbot-renew.service
1 timers listed.
Pass --all to see loaded but inactive timers, too.

2. Apache のhttps 化

念のため、下記をインストールしておく

# dnf -y install mod_ssl

2.1 ssl.conf ファイルの編集

# vi /etc/httpd/conf.d/ssl.conf
●43 行目 コメント解除して変更
DocumentRoot "/var/www/html/<ドメイン名>"
●44 行目 コメント解除して変更
ServerName <ドメイン名>:443
●85行目  コメントにしてその下に追加
# SSLCertificateFile /etc/pki/tls/certs/localhost.crt
SSLCertificateFile  /etc/letsencrypt/live/<ドメイン名>/cert.pem
●93行目  コメントにしてその下に追加
# SSLCertificateKeyFile /etc/pki/tls/private/localhost.key
SSLCertificateKeyFile /etc/letsencrypt/live/<ドメイン名>/privkey.pem
●103行目  追加
SSLCertificateChainFile /etc/letsencrypt/live/<ドメイン名>/chain.pem
Apache を再起動します。
# systemctl restart httpd
Firewallでhttpsを許可する
# firewall-cmd --add-service=https --permanent
success
# firewall-cmd --reload
success

2.2 HTTP 通信を HTTPS へリダイレクト

.htaccessを/var/www/html/[ドメイン]/ 配下に作成
.htaccessの内容
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

3. Mail サーバーにSSL/TLS(Let's Encrypt) の設定

3.1 メールサーバー用証明書の取得

メールサーバー用の証明書を取得するが上記と同様の方法では取得できないので「--standalone」オプションをつけて下記のようにしても失敗する。

# certbot certonly --standalone -d mail.<domain name>

一度web サーバーを止めてから行うと下記のとおり成功する

# systemctl stop httpd.service
# certbot certonly --standalone -d mail.<domain name>
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator standalone, Installer None
Requesting a certificate for mail.<domain name>
Performing the following challenges:
http-01 challenge for mail.<domain name>
Waiting for verification...
Cleaning up challenges
IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at:
/etc/letsencrypt/live/mail.<domain name>/fullchain.pem
Your key file has been saved at:
/etc/letsencrypt/live/mail.<domain name>/privkey.pem
Your certificate will expire on 2022-08-27. To obtain a new or
tweaked version of this certificate in the future, simply run
certbot again. To non-interactively renew *all* of your
certificates, run "certbot renew"
- If you like Certbot, please consider supporting our work by:
Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le

3.2 Postfixの設定

# vi /etc/postfix/main.cf
● 709, 715行目 : コメント化
#smtpd_tls_cert_file = /etc/pki/tls/certs/postfix.pem
#smtpd_tls_key_file = /etc/pki/tls/private/postfix.key

● 最終行に追記
smtpd_use_tls = yes
smtp_tls_mandatory_protocols = !SSLv2, !SSLv3
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
smtpd_tls_cert_file = /etc/letsencrypt/live/mail.<domain name>/fullchain.pem
smtpd_tls_key_file = /etc/letsencrypt/live/mail.<domain name>/privkey.pem
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache

# vi /etc/postfix/master.cf
● 19-22行目 : コメント解除
submission inet n - n - - smtpd
-o syslog_name=postfix/submission
-o smtpd_tls_security_level=encrypt
-o smtpd_sasl_auth_enable=yes
● 31-34行目 : コメント解除
smtps inet n - n - - smtpd
-o syslog_name=postfix/smtps
-o smtpd_tls_wrappermode=yes
-o smtpd_sasl_auth_enable=yes

3.3 Dovecotの設定

# vi /etc/dovecot/conf.d/10-ssl.conf
● 8行目:確認
ssl = yes
● 14,15行目:コメント解除して証明書/鍵ファイル指定
ssl_cert = </etc/letsencrypt/live/mail.<domain name>/fullchain.pem
ssl_key = </etc/letsencrypt/live/mail.<domain name>/privkey.pem
firewallでPort 587を許可する
# firewall-cmd --add-port=587/tcp --permanent
# firewall-cmd --reload
# systemctl restart postfix dovecot

3.4 Thunderbirdの設定

受信サーバー
Port  :  143
Connection security   :  STARTTLS
Authentication method  :  Normal password
送信サーバー
Port   :  587
Connection security   :  STARTTLS
Authentication method  :  Normal password
タイトルとURLをコピーしました