Certificats SSL

Les serveurs BlueMind utilisent des connexions sécurisées par certificats. Il est possible de remplacer les certificats générés lors de l'installation de BlueMind par des certificats personnalisés sur une installation mono-serveur.

L'admin console de BlueMind met à disposition 2 procédures de mises à jour des certificats:

• En remplaçant les fichiers (nouveau certificat, clé privée et certificat de l'autorité de certification)
• En utilisant la génération par Let's Encrypt

remarque

La gestion des certificats n'est pas spécifique à la messagerie BlueMind. Les équipes BlueMind ne peuvent réaliser la gestion ou la configuration des certificats dans le cadre de son support.

Prérequis

La messagerie dépend très fortement des certificats et de leur bonne gestion. Par exemple, elle ne fonctionnera plus si vos certificats expirent. Il est indispensable de maîtriser parfaitement leur gestion (voir le chapitre Liens Externes si nécessaire).

URLs externes

Vous devez vous assurer qu'une URL externe a été définie pour le système global ou pour le domaine concerné par cette installation de certificat

info

L'ajout d'une URL externe sur un domaine est facultatif et n'est recommandé qu'en cas de configuration multi-domaines

Fichiers nécessaires

Certificat Let's Encrypt

Aucun fichier n'est nécessaire

Certificat par fichiers

Afin de mettre en place un certificat SSL par fichiers, il faut être en possession des 3 fichiers suivants :

• un fichier contenant le nouveau certificat SSL
• un fichier contenant la clé privée du nouveau certificat - la clé ne doit pas être protégée par mot de passe ET doit utiliser l'algorithme RSA 2048 ou supérieur.
• un fichier contenant le certificat de l'autorité de certification ayant servi à délivrer le nouveau certificat SSL. Dans le cas où cette autorité est une autorité intermédiaire, il faut concaténer au fichier le certificat racine de cette autorité.

Vous devez vous assurer que les certificats correspondent à l'URL externe (external-url) de votre messagerie, sans quoi cette messagerie ne sera pas opérationnelle.

Si votre certificat est au format P12, il vous faut générer le certificat et la clé privée au format PEM en utilisant les commandes :

openssl pkcs12  -nocerts -in cert.p12 -out privatekey.pem
openssl pkcs12 -clcerts  -nokeys -in cert.p12 -out cert.pem 

info

Attention, il faut bien vérifier que le CN ou un nom alternatif du certificat est bien l'external url du serveur bluemind, vous pouvez vérifier le CN avec la commande :

openssl x509 -noout -subject -in cert.pem

Vous pouvez également vérifier l'algorithme utilisé par la clé privée (RSA 2048 ou supérieur) avec la commande :

openssl pkey -in privkey.pem -text

Les courbes elliptiques (elliptic curves) ne sont pas compatible, par exemple ed25519

Installation du certificat pour le système global

• Se connecter à BlueMind en tant qu'administrateur système admin0
• Se rendre sur la page Sécurité > Modifier le certificat
• Choisir le moteur de certificat SSL : Fichiers ou Let's Encrypt

remarque

Le certificat installé pour le système global sera utilisé pour le SSL/TLS par les protocoles SMTP, IMAP et POP

Certificat par fichiers

• Choisir 'Fichiers' dans la liste déroulante

• Au moyen des 3 boutons 'Choisir le fichier', rechercher les fichiers correspondants afin de les envoyer sur le serveur

  

• Cliquer sur 'Enregistrer' afin de téléverser les fichiers et prendre en compte le nouveau certificat

Génération Let's Encrypt

• Choisir 'Let's Encrypt' dans la liste déroulante

• Accepter les conditions en cliquant sur le bouton 'Accepter les conditions de Let's Encrypt'
  Les conditions de Let's Encrypt sont consultables en cliquant sur le lien 'Conditions de Let's Encrypt'. Il est nécessaire de les accepter pour débloquer le bouton permettant la génération du certificat.

  

• Générer le certificat pour le système global
  Saisir une adresse email valide afin de recevoir les alertes envoyées par Let's Encrypt à propos de l'expiration et/ou du renouvellement du certificat généré.
  Si elle n'est pas renseignée une adresse par défaut no-reply@<default-domain> sera utilisée (en cas de serveur mutualisé, un domaine par défaut doit être défini au préalable).

  

• Cliquer sur 'Enregistrer' pour prendre en compte le nouveau certificat

Installation du certificat pour un domaine

• Se connecter à BlueMind en tant qu'administrateur système admin0
• Se rendre sur la page Gestion du système > Domaines supervisés
• Sélectionner le domaine concerné
• Cliquer sur l'onglet 'Certificat et chiffrement'
• Suivre la procédure de génération de certificat "par fichiers" ou par "Let's Encrypt"

Renouveler un certificat

Une tache programmée se chargera de renouveler automatiquement le certificat Let's Encrypt généré.
Les 30 jours avant l'expiration du certificat, le renouvellement est tenté 1 fois par jour. Les 5 derniers jours avant expiration, si le renouvellement est toujours en échec, un message d'alerte est envoyé à l'adresse mail de contact saisie lors de la configuration de Let's Encrypt.

Il est également possible de renouveler manuellement le certificat, en suivant la même procédure que le lors de la génération:

• Générer le certificat par fichier
• Générer le certificat par Let's Encrypt

Pour aller plus loin

Consultez la documentation BlueMind en relation :

• Les URLs externes
• Configuration du système
• Gestion des domaines

Liens externes

• Guide élémentaire du SSL - Travailler en toute sécurité dans un monde numérique (source : certificat.fr)