Bonjour,

Je suis un peu perdu au niveau de la gestion des certificats. J'utilise le service let's encrypt.
J'ai dû refaire l’installation de mon serveur, et donc le serveur mail.

A l'époque j'avais suivis le tuto d'Hardware sur le serveur mail. N'étant plus à jour, j'ai fais un mix avec deux autres tutoriels pour parvenir à faire fonctionner le serveur mail.

Dans l'un des tutos les certificats sont générés de cette façon:

certbot certonly --standalone --rsa-key-size 4096 -d mail.mysystems.tld -d imap.mysystems.tld -d smtp.mysystems.tld

After having agreed to the terms of use and having provided your e-mail address you will instantly get valid >certificates. They are saved at: /etc/letsencrypt/live/mail.mysystems.tld and are valid for your three mail system domain names:

   mail.mysystems.tld
    imap.mysystems.tld
   smtp.mysystems.tld

En faisant un test via thunderbird cela fonctionne correctement, je n'ai pas d'alerte.

J'ai voulu ajouter des certificats pour mon domain.tld et d'autres sub-domane.tld, j'ai donc fais ceci:

certbot certonly               \
  --standalone                 \
  --rsa-key-size 4096          \
  --agree-tos                  \
  --email admin@domain.tld        \
  --domains domain.tld            \
  --domains www.domain.tld        \
  --domains mail.domain.tld       \
  --domains smtp.domain.tld       \
  --domains pop3.domain.tld       \
  --domains sub1.domain.tld    \

J'ai ensuite modifié les configs dans postfix et dovecot pour changé et modifier le chemin des certificats.
J'ai redémarré postfix et dovecot.

J'ai testé d'ajouter un nouveau compte dans Thunderbird. Mais là je reçois une alerte au niveau du certificat et que je dois confirmer l’exception de sécurité.

Ce que je ne comprend pas c'est pourquoi cela passe avec les premiers certificats (mail.domain.tld), mais que cela ne passe pas avec ceux que j'ai généré pour l'ensemble de domain.tld ?

Les certificats sont générés de la même façon. Le problème peut se situer a quel niveau, au niveau du fichier /etc/hosts, au niveau de la zone de DNS ?

Quelques infos:
Serveur chez Kimsufi.

# hostname
hostname.domain.tld
# cat /etc/hosts

# The following lines are desirable for IPv6 capable hosts
::1     localhost       ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

127.0.0.1       localhost.localdomain   localhost
IP.SERVER     hostname.domain.tld

Zone DNS

                      IN NS     ns109.ovh.net.
                        IN NS     dns109.ovh.net.
                        IN MX 10  mail.domaine.tld.
                        IN A      IP.SERVER
hostanme                IN A      IP.SERVER
mail                    IN A      IP.SERVER
pop3                    IN CNAME  hostanme.domaine.tld.
smtp                    IN CNAME  hostanme.domaine.tld.
imap                    IN CNAME  hostanme.domaine.tld.

Au niveau de l'inferface de Kimsufi j'ai indiqué le reverse: hostname.domain.tld.

Les tutoriels suivit:
- tuto hardware
- tuto1
- tuto2

    Gravefield
    Salut.
    Ce soir je fais rien si tu veux je te donne un coup de main par teamviewer

      Salut, je te remercie pour ta proposition.

      Mais je veux simplement comprendre pourquoi. Vu que tout fonctionne, une intervention via teamviewer ne me parait pas adaptée.

      Je vais prendre le temps de lire de la doc sur le sujet.

      Encore merci.

      @Gravefield Franchement si Xavier te propose cela c'est qu'il pourra en même temps t'expliquer chaque manipulations qu'il fera.
      TeamViewer est très bien pour expliquer a distance !

      Pour moi, le problème viendrait peu-être des chemins de tes certificats dans /etc/letsencrypt/live/

      Dans ce cas précis, tu dois en avoir 2 :

      /etc/letsencrypt/live/domain.tld
/etc/letsencrypt/live/mail.domain.tld

      Ayant paramétré ton serveur mail sur le premier avec tous tes domaines, il me semble que la vérif va comparer ton FQDN qui est (hostname.domain.tld ou mail.domain.tld) à ton certificat qui bien que valide commence par domain.tld

      Répondre…