Ce guide fournit des instructions détaillées sur l’installation d’un certificat SSL sur l’agent de transfert de courrier Postfix. Il comprend également des informations utiles sur l’endroit où acheter le meilleur certificat SSL pour Postfix.
Si vous avez déjà généré votre code CSR et que vous ne cherchez que des conseils d’installation, vous pouvez sauter la première partie.
Table des matières
- Générer un code CSR sur Postfix
- Installer un certificat SSL sur Postfix
- Testez votre installation Postfix
- Où acheter le meilleur certificat SSL pour Postfix ?

Nous avons également enregistré une vidéo qui vous guide tout au long du processus. Vous pouvez regarder la vidéo, lire les instructions ou faire les deux. Vous pouvez regarder la vidéo ci-dessous.
Générer un code CSR sur Postfix
Pour obtenir un certificat SSL auprès d’une autorité de certification de confiance, vous devez soumettre une demande de signature de certificat (CSR) à votre fournisseur SSL. Le CSR est un bloc de texte codé contenant vos coordonnées, telles que le site web et les informations sur l’entreprise.
Deux possibilités s’offrent à vous :
- Utilisez notre générateur de RSC pour créer automatiquement la RSC.
- Suivez notre tutoriel étape par étape sur la façon de générer un CSR dans Postfix.
Au cours de la procédure de commande auprès de votre fournisseur SSL, vous devrez ouvrir le fichier CSR et copier-coller l’intégralité du texte dans la case correspondante. Utilisez un éditeur de texte tel que Notepad pour ouvrir le code CSR.
Installer un certificat SSL sur Postfix
Une fois que votre autorité de certification a validé votre demande de SSL et envoyé les fichiers SSL nécessaires à votre boîte de réception, vous pouvez commencer l’installation de SSL. Veuillez procéder comme suit :
Étape 1. Préparez vos fichiers SSL
Postfix prend en charge les certificats SSL au format X.509. Une installation correcte nécessite les fichiers suivants :
- Votre fichier de clé privée : vous avez généré le fichier de clé avec le code CSR sur votre serveur.
- Votre certificat SSL principal: il se trouve dans le dossier ZIP archivé que vous avez reçu de l’autorité de certification. Vérifiez votre courrier électronique et téléchargez, puis extrayez votre certificat SSL. Pour les besoins de cette démonstration, nous nommerons le fichier du certificat SSL primaire .crt
- L’autorité de certification intermédiaire: il s’agit du fichier de regroupement d’autorités de certification (.ca-bundle) qui se trouve dans le même dossier ZIP que votre certificat SSL. Dans notre cas, nous nommerons le fichier intca.crt
Remarque : vous pouvez placer les trois fichiers dans un seul répertoire. Par exemple, /etc/postfix.
Étape 2. Ajouter le certificat SSL à Postfix
Il existe deux approches en fonction de votre version de Postfix :
Pour Postfix 3.4 et plus récent
Créez un « fichier de chaîne » contenant la clé, le certificat du serveur et les intermédiaires dans l’ordre exact.
cat /path/to/privkey.key /path/to/server.crt /path/to/intermediate.pem > /etc/postfix/rsachain.pem
Cette méthode moderne évite les problèmes d’inversion et fonctionne proprement avec la méthode de Postfix smtpd_tls_chain_files.
Alternative (toutes les versions)
Gardez la clé séparée et combinez uniquement le certificat du serveur avec le(s) certificat(s) intermédiaire(s) :
cat /path/to/server.crt /path/to/intermediate.pem > /etc/postfix/server.pem
Vous ferez référence à ce paquet et à la clé privée dans la configuration de Postfix.
Étape 3 : Configurer Postfix
Modifiez /etc/postfix/main.cf et choisissez le style de configuration qui correspond à votre installation :
Option A – Postfix ≥ 3.4 (recommandé) :
smtpd_tls_chain_files = /etc/postfix/rsachain.pem
smtpd_tls_security_level = may
Option B – Héritage
smtpd_tls_cert_file = /etc/postfix/server.pem
smtpd_tls_key_file = /etc/postfix/privkey.key
smtpd_tls_security_level = may
Utilisez may pour le SMTP entrant sur le port 25. Ne définissez pas encrypt sur les serveurs MX publics, car cela rompt la compatibilité avec les expéditeurs simples.
Postfix désactive déjà SSLv2/SSLv3 et les algorithmes de chiffrement faibles, de sorte que des listes noires supplémentaires ne sont pas nécessaires, sauf si vous avez besoin d’une authentification par certificat client.
Sécurisez le service de soumission (Port 587)
Si vos utilisateurs envoient du courrier via Postfix (via Outlook, Thunderbird, Apple Mail, etc.), ils se connectent sur le port 587. Il s’agit du port de soumission, différent du port 25, qui sert à la livraison de serveur à serveur.
Ici, vous pouvez appliquer des règles plus strictes car seuls vos utilisateurs authentifiés sont concernés. Dans /etc/postfix/main.cf, ajoutez :
smtpd_tls_mandatory_protocols = >=TLSv1.2
Dans /etc/postfix/master.cf, assurez-vous que la soumission est activée, et vous pouvez la remplacer comme suit :
submission inet n - n - - smtpd
-o smtpd_tls_security_level=encrypt
-o smtpd_sasl_auth_enable=yes
-o smtpd_tls_mandatory_protocols=>=TLSv1.2
Étape 4 : Recharger Postfix
Appliquez les modifications en rechargeant Postfix :
postfix reload
# or
systemctl reload postfix
Étape 5 : Vérifier le certificat
Vérifiez que Postfix sert la chaîne correcte avec OpenSSL :
openssl s_client -starttls smtp -connect yourdomain.com:25 -servername yourdomain.com </dev/null \
| openssl x509 -noout -issuer -subject
Vous devriez voir apparaître le certificat de votre serveur ainsi que la chaîne d’émetteur appropriée. Félicitations, vous avez installé avec succès un certificat SSL sur Postfix.
Testez votre installation SSL
Après avoir installé un certificat SSL sur Postfix, il est toujours judicieux d’analyser votre nouvelle installation pour détecter d’éventuelles erreurs ou vulnérabilités, par mesure de sécurité. Grâce à ces puissants outils SSL, vous pouvez obtenir des rapports instantanés sur tous les aspects de votre certificat SSL et de sa configuration.
Où acheter le meilleur certificat SSL pour Postfix ?
Vous avez déjà atteint la destination ! Chez SSL Dragon, nous offrons la plus large gamme de produits SSL à des prix incroyablement bas. Tous nos certificats sont compatibles avec l’agent de transfert de courrier Postfix.
Si vous ne savez pas quel certificat choisir, ou si vous avez du mal à trouver le produit idéal pour votre site, notre assistant SSL rapide et intuitif et nos outils de filtrage avancé des certificats rendront la recherche plus efficace et plus agréable.
Si vous trouvez des inexactitudes ou si vous avez des détails à ajouter à ces instructions d’installation de SSL, n’hésitez pas à nous faire part de vos commentaires à l’adresse [email protected]. Votre contribution serait très appréciée ! Nous vous remercions.
Economisez 10% sur les certificats SSL en commandant aujourd’hui!
Émission rapide, cryptage puissant, confiance de 99,99 % du navigateur, assistance dédiée et garantie de remboursement de 25 jours. Code de coupon: SAVE10


