メールサーバー間通信内容暗号化(Postfix+Dovecot+OpenSSL+Certbot)
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
検索
|
最終更新
|
ヘルプ
|
ログイン
]
開始行:
[[CentOS7]]
*メールサーバー間通信内容暗号化(Postfix+Dovecot+OpenSSL+...
メールの送受信を行う場合、ユーザー名、パスワードやメール...
また、メールサーバーとの通信内容を暗号化するには、サーバ...
''【Certbotの特徴】''
-サーバー証明書を無料で発行できる
-サーバー証明書の取得がコマンドのみで行える(Web経由、メ...
-サーバー証明書の更新がコマンドのみで行える(維持=サーバ...
&ref(01.png);
*Certbotクライアントインストール [#a942b9a3]
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# cd /usr/local/ &color(lime){← ディ...
|[root@localhost local]# git clone https://github.com/cer...
|[root@localhost local]# cd &color(lime){← ディレクトリ...
|[root@localhost ~]# /usr/local/certbot/certbot-auto --he...
*サーバー証明書取得 [#l0ff159a]
''Certbot''ではサーバー名の認証をWeb経由で行うため、サー...
-Webサーバーが稼動している場合は、メールサーバー名でWebサ...
-Webサーバーが稼動していない場合は、サーバー証明書取得時...
**メールサーバー上にWebサーバーも稼動している場合 [#pe450...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# vi /etc/httpd/conf.d/virtualhost-hog...
|&color(lime){メールサーバー名(例:mail.hoge.com)でWebサ...
|[root@localhost ~]# systemctl reload httpd|
|[root@localhost ~]# /usr/local/certbot/certbot-auto cert...
|&color(lime){--パラメータ指定例-- &br; ドキュメント...
**メールサーバー上にWebサーバーが稼動していない場合 [#l91...
ルーター側の設定でポート''80''番と''443''番をOPENする。
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# /usr/local/certbot/certbot-auto cert...
|&color(lime){--パラメータ指定例-- &br; メールアドレ...
*Postfix設定 [#m3f671b7]
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# vi /etc/postfix/main.cf &color(lime)...
|&color(lime){下記を追加}; &br; smtp_tls_security_level =...
|[root@localhost ~]# vi /etc/postfix/master.cf &color(lim...
|&color(lime){#};submission inet n - n ...
*Postfix再起動 [#o5d5a2ea]
**Postfix再起動 [#t26bb7c7]
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# systemctl restart postfix &color(lim...
**TCP465番ポート開放 [#ge74bc4a]
''【ルーター】''
ルーター側の設定で、''TCP465''番ポートへのアクセスをサー...
''【ファイアウォール】''
サーバー側のファイアウォール設定で、''TCP465''番ポートへ...
[[Portチェックテスト【外部からのPort開放確認】>http://www...
-ホスト:mail.hoge.com
-ポート:''465''
-にアクセスできました
と表示されることを確認。
**TCP587番ポート閉塞 [#sae8d378]
''【ルーター】''
ルーター側の設定で、''TCP587''番ポートへのアクセスをサー...
''【ファイアウォール】''
サーバー側のファイアウォール設定で、''TCP587''番ポートへ...
[[Portチェックテスト【外部からのPort開放確認】>http://www...
-ホスト:mail.hoge.com
-ポート:''587''
-に到達できませんでした
と表示されることを確認。
*Dovecot設定 [#ba82fc62]
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# vi /etc/dovecot/conf.d/10-ssl.conf &...
|# SSL/TLS support: yes, no, required. &br; #ssl = yes &...
*Dovecot再起動 [#uc3eef65]
**Dovecot再起動 [#f9bf0885]
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# systemctl restart dovecot &color(lim...
**TCP995番(POPの場合)またはTCP993番(IMAPの場合)ポート開放...
''【ルーター】''
ルーター側の設定で、''TCP995''番(''POP''の場合)または''TC...
''【ファイアウォール】''
サーバー側のファイアウォール設定で、''TCP995''番(''POP''...
[[Portチェックテスト【外部からのPort開放確認】>http://www...
-ホスト:hoge.com
-ポート:''995''または''993''
-にアクセスできました
と表示されることを確認。
*Postfix、Dovecot確認 [#k4c5ac26]
メールソフトでメール送受信してセキュリティの警告が表示さ...
*サーバー証明書自動更新設定 [#t0f5bab0]
''Certbot''のサーバー証明書の有効期間は3ヶ月のため、毎月...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# vi /etc/cron.monthly/certbot &color(...
#!/bin/sh
log=`mktemp`
code=0
#
# 証明書更新
#
for conf in `ls /etc/letsencrypt/renewal/`
do
# ドメイン名取得
domain=`echo ${conf}|sed -e 's/\([^ ]*\)\.conf/\1/p'...
# 認証方式取得
authenticator=`grep authenticator /etc/letsencrypt/r...
if [ ${authenticator} = 'webroot' ]; then
# Web認証の場合
# ドキュメントルート取得
webroot=`grep -A 1 webroot_map /etc/letsencrypt...
# 証明書更新
/usr/local/certbot/certbot-auto certonly --webro...
-w ${webroot} -d ${domain} --renew-by-default >>...
[ $? -ne 0 ] && cat ${log}
else
# スタンドアロン認証の場合
# 証明書更新
lsof -i:80 > /dev/null 2>&1
if [ $? -eq 0 ]; then
echo 'Webサーバー稼働中のためスタンドアロン...
else
/usr/local/certbot/certbot-auto certonly -a ...
-d ${domain} --renew-by-default >> ${log} 2>&1
[ $? -ne 0 ] && cat ${log}
fi
fi
done
#
# 証明書更新反映
#
# Webサーバー設定再読込み
lsof -i:443 > /dev/null 2>&1
if [ $? -eq 0 ]; then
rpm -q systemd > /dev/null 2>&1
if [ $? -eq 0 ]; then
systemctl reload httpd
else
/etc/rc.d/init.d/httpd reload > /dev/null 2>&1
fi
fi
# SMTPサーバー設定再読込み
lsof -i:465 > /dev/null 2>&1
if [ $? -eq 0 ]; then
rpm -q systemd > /dev/null 2>&1
if [ $? -eq 0 ]; then
systemctl reload postfix
else
/etc/rc.d/init.d/postfix reload > /dev/null 2>&1
fi
fi
# IMAPサーバー設定再読込み
lsof -i:995 > /dev/null 2>&1
if [ $? -eq 0 ]; then
rpm -q systemd > /dev/null 2>&1
if [ $? -eq 0 ]; then
systemctl reload dovecot
else
/etc/rc.d/init.d/dovecot reload > /dev/null 2>&1
fi
fi
#
# ログをsyslogへ出力後削除
#
cat ${log}|logger -t `basename ${0}` ; rm -f ${log}
終了行:
[[CentOS7]]
*メールサーバー間通信内容暗号化(Postfix+Dovecot+OpenSSL+...
メールの送受信を行う場合、ユーザー名、パスワードやメール...
また、メールサーバーとの通信内容を暗号化するには、サーバ...
''【Certbotの特徴】''
-サーバー証明書を無料で発行できる
-サーバー証明書の取得がコマンドのみで行える(Web経由、メ...
-サーバー証明書の更新がコマンドのみで行える(維持=サーバ...
&ref(01.png);
*Certbotクライアントインストール [#a942b9a3]
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# cd /usr/local/ &color(lime){← ディ...
|[root@localhost local]# git clone https://github.com/cer...
|[root@localhost local]# cd &color(lime){← ディレクトリ...
|[root@localhost ~]# /usr/local/certbot/certbot-auto --he...
*サーバー証明書取得 [#l0ff159a]
''Certbot''ではサーバー名の認証をWeb経由で行うため、サー...
-Webサーバーが稼動している場合は、メールサーバー名でWebサ...
-Webサーバーが稼動していない場合は、サーバー証明書取得時...
**メールサーバー上にWebサーバーも稼動している場合 [#pe450...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# vi /etc/httpd/conf.d/virtualhost-hog...
|&color(lime){メールサーバー名(例:mail.hoge.com)でWebサ...
|[root@localhost ~]# systemctl reload httpd|
|[root@localhost ~]# /usr/local/certbot/certbot-auto cert...
|&color(lime){--パラメータ指定例-- &br; ドキュメント...
**メールサーバー上にWebサーバーが稼動していない場合 [#l91...
ルーター側の設定でポート''80''番と''443''番をOPENする。
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# /usr/local/certbot/certbot-auto cert...
|&color(lime){--パラメータ指定例-- &br; メールアドレ...
*Postfix設定 [#m3f671b7]
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# vi /etc/postfix/main.cf &color(lime)...
|&color(lime){下記を追加}; &br; smtp_tls_security_level =...
|[root@localhost ~]# vi /etc/postfix/master.cf &color(lim...
|&color(lime){#};submission inet n - n ...
*Postfix再起動 [#o5d5a2ea]
**Postfix再起動 [#t26bb7c7]
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# systemctl restart postfix &color(lim...
**TCP465番ポート開放 [#ge74bc4a]
''【ルーター】''
ルーター側の設定で、''TCP465''番ポートへのアクセスをサー...
''【ファイアウォール】''
サーバー側のファイアウォール設定で、''TCP465''番ポートへ...
[[Portチェックテスト【外部からのPort開放確認】>http://www...
-ホスト:mail.hoge.com
-ポート:''465''
-にアクセスできました
と表示されることを確認。
**TCP587番ポート閉塞 [#sae8d378]
''【ルーター】''
ルーター側の設定で、''TCP587''番ポートへのアクセスをサー...
''【ファイアウォール】''
サーバー側のファイアウォール設定で、''TCP587''番ポートへ...
[[Portチェックテスト【外部からのPort開放確認】>http://www...
-ホスト:mail.hoge.com
-ポート:''587''
-に到達できませんでした
と表示されることを確認。
*Dovecot設定 [#ba82fc62]
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# vi /etc/dovecot/conf.d/10-ssl.conf &...
|# SSL/TLS support: yes, no, required. &br; #ssl = yes &...
*Dovecot再起動 [#uc3eef65]
**Dovecot再起動 [#f9bf0885]
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# systemctl restart dovecot &color(lim...
**TCP995番(POPの場合)またはTCP993番(IMAPの場合)ポート開放...
''【ルーター】''
ルーター側の設定で、''TCP995''番(''POP''の場合)または''TC...
''【ファイアウォール】''
サーバー側のファイアウォール設定で、''TCP995''番(''POP''...
[[Portチェックテスト【外部からのPort開放確認】>http://www...
-ホスト:hoge.com
-ポート:''995''または''993''
-にアクセスできました
と表示されることを確認。
*Postfix、Dovecot確認 [#k4c5ac26]
メールソフトでメール送受信してセキュリティの警告が表示さ...
*サーバー証明書自動更新設定 [#t0f5bab0]
''Certbot''のサーバー証明書の有効期間は3ヶ月のため、毎月...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# vi /etc/cron.monthly/certbot &color(...
#!/bin/sh
log=`mktemp`
code=0
#
# 証明書更新
#
for conf in `ls /etc/letsencrypt/renewal/`
do
# ドメイン名取得
domain=`echo ${conf}|sed -e 's/\([^ ]*\)\.conf/\1/p'...
# 認証方式取得
authenticator=`grep authenticator /etc/letsencrypt/r...
if [ ${authenticator} = 'webroot' ]; then
# Web認証の場合
# ドキュメントルート取得
webroot=`grep -A 1 webroot_map /etc/letsencrypt...
# 証明書更新
/usr/local/certbot/certbot-auto certonly --webro...
-w ${webroot} -d ${domain} --renew-by-default >>...
[ $? -ne 0 ] && cat ${log}
else
# スタンドアロン認証の場合
# 証明書更新
lsof -i:80 > /dev/null 2>&1
if [ $? -eq 0 ]; then
echo 'Webサーバー稼働中のためスタンドアロン...
else
/usr/local/certbot/certbot-auto certonly -a ...
-d ${domain} --renew-by-default >> ${log} 2>&1
[ $? -ne 0 ] && cat ${log}
fi
fi
done
#
# 証明書更新反映
#
# Webサーバー設定再読込み
lsof -i:443 > /dev/null 2>&1
if [ $? -eq 0 ]; then
rpm -q systemd > /dev/null 2>&1
if [ $? -eq 0 ]; then
systemctl reload httpd
else
/etc/rc.d/init.d/httpd reload > /dev/null 2>&1
fi
fi
# SMTPサーバー設定再読込み
lsof -i:465 > /dev/null 2>&1
if [ $? -eq 0 ]; then
rpm -q systemd > /dev/null 2>&1
if [ $? -eq 0 ]; then
systemctl reload postfix
else
/etc/rc.d/init.d/postfix reload > /dev/null 2>&1
fi
fi
# IMAPサーバー設定再読込み
lsof -i:995 > /dev/null 2>&1
if [ $? -eq 0 ]; then
rpm -q systemd > /dev/null 2>&1
if [ $? -eq 0 ]; then
systemctl reload dovecot
else
/etc/rc.d/init.d/dovecot reload > /dev/null 2>&1
fi
fi
#
# ログをsyslogへ出力後削除
#
cat ${log}|logger -t `basename ${0}` ; rm -f ${log}
ページ名:
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
