Když už máme zprovozněný skript pro ověřování LE certifikátů, pojdme jej teď nastavit na emailový server iRedmail.

Návod bude počítat s instalací na webový server NGINX. Dále nastavíme Dovecot a Postfix.

Návod vychází přímo z dokumentace.

Nginx - adresář well-known

Nejprve je nutné zpřístupnit adresář pro ACME challange, tedy (soubor /etc/nginx/templates/misc.tmpl).

Tato konfigurace je vlastně doplněním včerejšího článku pro webserver nginx.

location ~ ^/.well-known/acme-challenge/(.*) {
    allow all;
    access_log off;
    log_not_found off;
    autoindex off;
    alias /var/www/dehydrated/$1;
}

zkontrolume nastavení a restartujeme:

nginx -t
systemctl restart nginx
systemctl status nginx

Pokud jsme postupovali podle minulého článku, tak teď jen ten pravý čas zavolat systemctl start dehydrated.service.

Nginx - nastavení certifikátu

Teď nastavíme certifikát (/etc/nginx/conf.d/00-default.conf):

ssl_certificate /var/lib/dehydrated/certs/domain/fullchain.pem;
ssl_certificate_key /var/lib/dehydrated/certs/domain/privkey.pem;

a finální restart

nginx -t
systemctl restart nginx
systemctl status nginx

Dovecot

V souboru /etc/dovecot/dovecot.conf:

ssl_ca = </var/lib/dehydrated/certs/domain/chain.pem
ssl_cert = </var/lib/dehydrated/certs/domain/cert.pem
ssl_key = </var/lib/dehydrated/certs/domain/privkey.pem

a restart:

systemctl restart dovecot
systemctl status dovecot

Postfix

Postix nastavíme pomocí příkazů:

postconf -e smtpd_tls_cert_file=/var/lib/dehydrated/certs/domain/cert.pem
postconf -e smtpd_tls_key_file=/var/lib/dehydrated/certs/domain/privkey.pem
postconf -e smtpd_tls_CAfile=/var/lib/dehydrated/certs/domain/chain.pem

a restartneme:

systemctl restart postfix
systemctl status postfix

A zkontrolujeme v prohlížeči / emilovém klientu nový certifikát.