[Résolu] Certificat non valide letsencrypt serveur mail

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

[Résolu] Certificat non valide letsencrypt serveur mail

mrglobule

Bonjour à toutes et à tous,
j'ai mis en place mon serveur mail qui fonctionne à merveille, merci pour le tuto Hardware 😉

J'ai renouveller le certificat let's encrypt et depuis j'ai des difficulté avec mon smtp et mes idevice. En gros les mails ne partent pas depuis mes clients mobiles (iphone entre autre) à cause d'un problème de certificat.

J'ai tester mon certificat TLS grâce à http://checktls.com et voici le résultat:
TLSchecker

Ma question est qu'est-ce que j'ai mal fait?
Pouvez-vous m'aider?

D'avance merci.

Solinvictus

Tu l'as renouvelé, et l'as-tu déplacé dans l'endroit défini dans :

/etc/postfix/main.cf

Parce que si j'interroge ton serveur mail, ce dernier m'indique :

Verify return code: 10 (certificate has expired)

Ce qui expliquerait le résultat de ton test ci-dessus.

mrglobule

Bonjour Solinvictus,
merci pour la réponse.

J'ai juste fait:

letsencrypt-auto renew -d mail2.accary.net

Quand je vais sur mon iPhone il me dis bien que le certificat est valide jusqu'en janvier 2017???

Hardware

Essaye ces deux commandes et donne moi le résultat stp :

openssl s_client -connect mail.domain.tld:587 -starttls smtp -tlsextdebug
openssl s_client -connect mail.domain.tld:993 -tlsextdebug

Je peux pas tester du boulot.

Magicalex

# openssl s_client -connect mail2.accary.net:587 -starttls smtp -tlsextdebug
CONNECTED(00000003)
TLS server extension "renegotiate" (id=65281), len=1
0001 - <SPACES/NULS>
depth=0 /CN=mail2.accary.net
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 /CN=mail2.accary.net
verify error:num=27:certificate not trusted
verify return:1
depth=0 /CN=mail2.accary.net
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
 0 s:/CN=mail2.accary.net
   i:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=/CN=mail2.accary.net
issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
---
No client certificate CA names sent
---
SSL handshake has read 2452 bytes and written 491 bytes
---
New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1
    Cipher    : DHE-RSA-AES256-SHA
    Session-ID: C5A32D23F8AFF375E08084C370D7906AB2C68F829C689C39B32D4DFE84D3656E
    Session-ID-ctx: 
    Master-Key: 37CA452D057F2CC6653E8F99598918D211AAEE406CC250CC6ECC2C5CFECCA74B6D429C212E730FA23EB677EE42BB3C32
    Key-Arg   : None
    Start Time: 1475851401
    Timeout   : 300 (sec)
    Verify return code: 21 (unable to verify the first certificate)
---
250 DSN

# openssl s_client -connect mail2.accary.net:993 -tlsextdebug
CONNECTED(00000003)
TLS server extension "renegotiate" (id=65281), len=1
0001 - <SPACES/NULS>
depth=1 /C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
verify error:num=20:unable to get local issuer certificate
verify return:0
---
Certificate chain
 0 s:/CN=mail2.accary.net
   i:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
 1 s:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
   i:/O=Digital Signature Trust Co./CN=DST Root CA X3
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=/CN=mail2.accary.net
issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
---
No client certificate CA names sent
---
SSL handshake has read 3420 bytes and written 456 bytes
---
New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1
    Cipher    : DHE-RSA-AES256-SHA
    Session-ID: 81849BB611385909A280B1EE537158F42CA454949F48855FE3D0F5F77CC15F0D
    Session-ID-ctx: 
    Master-Key: 222918499FBE6C5755574DA27CFFF0670D4FE62A08EA4C4F41EF970A0C4B70B08C05578114DDD0CB77FDF5742122803D
    Key-Arg   : None
    Start Time: 1475851469
    Timeout   : 300 (sec)
    Verify return code: 0 (ok)
---
* OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE IDLE AUTH=PLAIN AUTH=LOGIN] Dovecot ready.

Hardware

Ouais c'est ce que je pensais, côté IMAP c'est bon, c'est côté SMTP que ça va pas, la chaine des certificat est soit incomplète soit mauvaise, vérifie bien ton fichier main.cf et le chemin vers les différents certificats.

Solinvictus

On dirait qu'elle est incomplète :

Pour la partie IMAP :

Certificate chain
 0 s:/CN=mail2.accary.net
   i:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
 1 s:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
   i:/O=Digital Signature Trust Co./CN=DST Root CA X3

Pour la partie SMTP:

Certificate chain
 0 s:/CN=mail2.accary.net
   i:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3

mrglobule

Bonjour,
merci pour les infos.
Quelles instructions je devrais avoir?
D'avance merci.

root@mail2:~# cat /etc/postfix/main.cf | grep smtp
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
#smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
#smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
smtpd_use_tls=yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
# information on enabling SSL in the smtp client.
smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination
smtpd_recipient_restrictions =
smtpd_helo_restrictions =
smtpd_client_restrictions =
smtpd_sender_restrictions =
smtp_tls_loglevel            = 1
smtp_tls_security_level      = may
#smtp_tls_CAfile              = /etc/ssl/certs/ca.cert.pem
smtp_tls_protocols           = !SSLv2, !SSLv3
smtp_tls_mandatory_protocols = !SSLv2, !SSLv3
smtp_tls_mandatory_ciphers   = high
smtp_tls_exclude_ciphers     = aNULL, eNULL, EXPORT, DES, 3DES, RC2, RC4, MD5, PSK, SRP, DSS, AECDH, ADH
smtp_tls_note_starttls_offer = yes
smtpd_tls_loglevel            = 1
smtpd_tls_auth_only           = yes
smtpd_tls_security_level      = may
smtpd_tls_received_header     = yes
smtpd_tls_protocols           = !SSLv2, !SSLv3
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
smtpd_tls_mandatory_ciphers   = medium
# smtpd_tls_exclude_ciphers   = NE PAS modifier cette directive pour des raisons de compatibilité
# smtpd_tls_cipherlist        = Ne pas modifier non plus !
#smtpd_tls_CAfile              = $smtp_tls_CAfile
smtp_tls_CAfile     = /etc/letsencrypt/live/mail2.accary.net/chain.pem
smtpd_tls_cert_file = /etc/letsencrypt/live/mail2.accary.net/cert.pem
smtpd_tls_key_file  = /etc/letsencrypt/live/mail2.accary.net/privkey.pem
#smtpd_tls_cert_file           = /etc/ssl/certs/mailserver.crt
#smtpd_tls_key_file            = /etc/ssl/private/mailserver.key
smtpd_tls_dh1024_param_file   = $config_directory/dh2048.pem
smtpd_tls_dh512_param_file    = $config_directory/dh512.pem
smtp_tls_session_cache_database  = btree:${data_directory}/smtp_scache
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtpd_sasl_auth_enable          = yes
smtpd_sasl_type                 = dovecot
smtpd_sasl_path                 = private/auth
smtpd_sasl_security_options     = noanonymous
smtpd_sasl_tls_security_options = $smtpd_sasl_security_options
smtpd_sasl_local_domain         = $mydomain
smtpd_sasl_authenticated_header = yes
smtpd_banner         = $myhostname ESMTP $mail_name (Debian/GNU)
#smtpd_milters = unix:/opendkim/opendkim.sock
smtpd_milters = unix:/opendkim/opendkim.sock, unix:/opendmarc/opendmarc.sock, unix:/clamav/clamav-milter.ctl
non_smtpd_milters = unix:/opendkim/opendkim.sock

xavier

Et si tu décommente cette ligne?

smtpd_tls_CAfile

Solinvictus

Tu devrais avoir ceci :

smtp_tls_CAfile              = /etc/letsencrypt/live/mail.../chain.pem
smtpd_tls_CAfile              = $smtp_tls_CAfile
smtpd_tls_cert_file           = /etc/letsencrypt/live/mail.../cert.pem
smtpd_tls_key_file            = /etc/letsencrypt/live/mail.../privkey.pem

Donc, comme le précises xavier, tu dois décommenter :

smtpd_tls_CAfile              = $smtp_tls_CAfile

xavier

J'espère que c'est juste ça ...
Car on dirait quil te manque un certificat intermédiaire.
Croisons les doigts!

mrglobule

Bonjour,
merci pour votre aide.
J'ai décommenté la ligne en question relancé postfix et le checktls.com semble ok.
En revanche l'iOS10 me dis toujours que le serveur smtp n'est pas valide?!?
Ai-je encore un truc en vrac?

Merci pour votre aide en tout cas c'est très sympa à vous.

Solinvictus

Un cache quelconque qui fout la merde peut-être.

mrglobule

Merci Solinvictus,
je viens de supprimer le compte du idevice et de le recréer et plus de message d'erreur.
Merci.

hydrog3n

Tien merci pour ça j'avais le même soucis. J'avais eu la flemme de chercher