bg-tutorials

Comment installer un certificat SSL sur Postfix

Ce guide fournit des instructions détaillées sur l’installation d’un certificat SSL sur l’agent de transfert de courrier Postfix. Il comprend également des informations utiles sur l’endroit où acheter le meilleur certificat SSL pour Postfix.

Si vous avez déjà généré votre code CSR et que vous ne cherchez que des conseils d’installation, vous pouvez sauter la première partie.

Table des matières

  1. Générer un code CSR sur Postfix
  2. Installer un certificat SSL sur Postfix
  3. Testez votre installation Postfix
  4. Où acheter le meilleur certificat SSL pour Postfix ?
Image du serveur de messagerie Postfix avec texte intégré

Nous avons également enregistré une vidéo qui vous guide tout au long du processus. Vous pouvez regarder la vidéo, lire les instructions ou faire les deux. Vous pouvez regarder la vidéo ci-dessous.

Générer un code CSR sur Postfix

Pour obtenir un certificat SSL auprès d’une autorité de certification de confiance, vous devez soumettre une demande de signature de certificat (CSR) à votre fournisseur SSL. Le CSR est un bloc de texte codé contenant vos coordonnées, telles que le site web et les informations sur l’entreprise.

Deux possibilités s’offrent à vous :

  1. Utilisez notre générateur de RSC pour créer automatiquement la RSC.
  2. Suivez notre tutoriel étape par étape sur la façon de générer un CSR dans Postfix.

Au cours de la procédure de commande auprès de votre fournisseur SSL, vous devrez ouvrir le fichier CSR et copier-coller l’intégralité du texte dans la case correspondante. Utilisez un éditeur de texte tel que Notepad pour ouvrir le code CSR.

Installer un certificat SSL sur Postfix

Une fois que votre autorité de certification a validé votre demande de SSL et envoyé les fichiers SSL nécessaires à votre boîte de réception, vous pouvez commencer l’installation de SSL. Veuillez procéder comme suit :

Étape 1. Préparez vos fichiers SSL

Postfix prend en charge les certificats SSL au format X.509. Une installation correcte nécessite les fichiers suivants :

  • Votre fichier de clé privée : vous avez généré le fichier de clé avec le code CSR sur votre serveur.
  • Votre certificat SSL principal: il se trouve dans le dossier ZIP archivé que vous avez reçu de l’autorité de certification. Vérifiez votre courrier électronique et téléchargez, puis extrayez votre certificat SSL. Pour les besoins de cette démonstration, nous nommerons le fichier du certificat SSL primaire .crt
  • L’autorité de certification intermédiaire: il s’agit du fichier de regroupement d’autorités de certification (.ca-bundle) qui se trouve dans le même dossier ZIP que votre certificat SSL. Dans notre cas, nous nommerons le fichier intca.crt

Remarque : vous pouvez placer les trois fichiers dans un seul répertoire. Par exemple, /etc/postfix.

Étape 2. Ajouter le certificat SSL à Postfix

Il existe deux approches en fonction de votre version de Postfix :

Pour Postfix 3.4 et plus récent

Créez un « fichier de chaîne » contenant la clé, le certificat du serveur et les intermédiaires dans l’ordre exact.

cat /path/to/privkey.key /path/to/server.crt /path/to/intermediate.pem > /etc/postfix/rsachain.pem

Cette méthode moderne évite les problèmes d’inversion et fonctionne proprement avec la méthode de Postfix smtpd_tls_chain_files.

Alternative (toutes les versions)

Gardez la clé séparée et combinez uniquement le certificat du serveur avec le(s) certificat(s) intermédiaire(s) :

cat /path/to/server.crt /path/to/intermediate.pem > /etc/postfix/server.pem

Vous ferez référence à ce paquet et à la clé privée dans la configuration de Postfix.

Étape 3 : Configurer Postfix

Modifiez /etc/postfix/main.cf et choisissez le style de configuration qui correspond à votre installation :

Option A – Postfix ≥ 3.4 (recommandé) :

smtpd_tls_chain_files = /etc/postfix/rsachain.pem
smtpd_tls_security_level = may

Option B – Héritage

smtpd_tls_cert_file = /etc/postfix/server.pem
smtpd_tls_key_file = /etc/postfix/privkey.key
smtpd_tls_security_level = may

Utilisez may pour le SMTP entrant sur le port 25. Ne définissez pas encrypt sur les serveurs MX publics, car cela rompt la compatibilité avec les expéditeurs simples.

Postfix désactive déjà SSLv2/SSLv3 et les algorithmes de chiffrement faibles, de sorte que des listes noires supplémentaires ne sont pas nécessaires, sauf si vous avez besoin d’une authentification par certificat client.

Sécurisez le service de soumission (Port 587)

Si vos utilisateurs envoient du courrier via Postfix (via Outlook, Thunderbird, Apple Mail, etc.), ils se connectent sur le port 587. Il s’agit du port de soumission, différent du port 25, qui sert à la livraison de serveur à serveur.

Ici, vous pouvez appliquer des règles plus strictes car seuls vos utilisateurs authentifiés sont concernés. Dans /etc/postfix/main.cf, ajoutez :

smtpd_tls_mandatory_protocols = >=TLSv1.2

Dans /etc/postfix/master.cf, assurez-vous que la soumission est activée, et vous pouvez la remplacer comme suit :

submission inet n - n - - smtpd
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_tls_mandatory_protocols=>=TLSv1.2

Étape 4 : Recharger Postfix

Appliquez les modifications en rechargeant Postfix :

postfix reload
# or
systemctl reload postfix

Étape 5 : Vérifier le certificat

Vérifiez que Postfix sert la chaîne correcte avec OpenSSL :

openssl s_client -starttls smtp -connect yourdomain.com:25 -servername yourdomain.com </dev/null \
| openssl x509 -noout -issuer -subject

Vous devriez voir apparaître le certificat de votre serveur ainsi que la chaîne d’émetteur appropriée. Félicitations, vous avez installé avec succès un certificat SSL sur Postfix.

Testez votre installation SSL

Après avoir installé un certificat SSL sur Postfix, il est toujours judicieux d’analyser votre nouvelle installation pour détecter d’éventuelles erreurs ou vulnérabilités, par mesure de sécurité. Grâce à ces puissants outils SSL, vous pouvez obtenir des rapports instantanés sur tous les aspects de votre certificat SSL et de sa configuration.

Où acheter le meilleur certificat SSL pour Postfix ?

Vous avez déjà atteint la destination ! Chez SSL Dragon, nous offrons la plus large gamme de produits SSL à des prix incroyablement bas. Tous nos certificats sont compatibles avec l’agent de transfert de courrier Postfix.

Si vous ne savez pas quel certificat choisir, ou si vous avez du mal à trouver le produit idéal pour votre site, notre assistant SSL rapide et intuitif et nos outils de filtrage avancé des certificats rendront la recherche plus efficace et plus agréable.

Si vous trouvez des inexactitudes ou si vous avez des détails à ajouter à ces instructions d’installation de SSL, n’hésitez pas à nous faire part de vos commentaires à l’adresse [email protected]. Votre contribution serait très appréciée ! Nous vous remercions.

Economisez 10% sur les certificats SSL en commandant aujourd’hui!

Émission rapide, cryptage puissant, confiance de 99,99 % du navigateur, assistance dédiée et garantie de remboursement de 25 jours. Code de coupon: SAVE10

Image détaillée d'un dragon en vol
Rédigé par

Rédacteur de contenu expérimenté spécialisé dans les certificats SSL. Transformer des sujets complexes liés à la cybersécurité en un contenu clair et attrayant. Contribuer à l'amélioration de la sécurité numérique par des récits percutants.