Защита вашей установки ISPConfig 3 с помощью бесплатного SSL-сертификата Class1 от StartSSL - Страница 2

4 Интерфейс ISPConfig (Apache2)

Если вы используете ISPConfig 3 с Apache, откройте /etc/apache2/sites-available/ispconfig.vhost…

vi /etc/apache2/sites-available/ispconfig.vhost

… и добавьте строку SSLCertificateChainFile /usr/local/ispconfig/interface/ssl/startssl.sub.class1.server.ca.crt в раздел # SSL Configuration (пожалуйста, имейте в виду, что вам нужно будет повторно добавить эту строку каждый раз, когда вы обновляете ISPConfig!):

| [...] # SSL Configuration SSLEngine On SSLCertificateFile /usr/local/ispconfig/interface/ssl/ispserver.crt SSLCertificateKeyFile /usr/local/ispconfig/interface/ssl/ispserver.key ## must be re-added after an ISPConfig update!!! SSLCertificateChainFile /usr/local/ispconfig/interface/ssl/startssl.sub.class1.server.ca.crt [...] |

(Настройте это, если вы используете сертификат Class2.)

Перезапустите Apache:

/etc/init.d/apache2 restart

5 Интерфейс ISPConfig (nginx)

В nginx вам нужно просто добавить промежуточный сертификат в файл ispserver.crt (пожалуйста, настройте это, если вы используете сертификат Class2)…

cat /usr/local/ispconfig/interface/ssl/startssl.sub.class1.server.ca.crt >> /usr/local/ispconfig/interface/ssl/ispserver.crt

… и перезагрузите nginx:

/etc/init.d/nginx reload

6 Postfix

Для Postfix мы создаем резервные копии /etc/postfix/smtpd.cert и /etc/postfix/smtpd.key и создаем символические ссылки на /usr/local/ispconfig/interface/ssl/ispserver.crt и /usr/local/ispconfig/interface/ssl/ispserver.key:

cd /etc/postfix  
mv smtpd.cert smtpd.cert_bak  
mv smtpd.key smtpd.key_bak  
ln -s /usr/local/ispconfig/interface/ssl/ispserver.crt smtpd.cert  
ln -s /usr/local/ispconfig/interface/ssl/ispserver.key smtpd.key

Затем добавляем директиву smtpd_tls_CAfile в /etc/postfix/main.cf…

postconf -e 'smtpd_tls_CAfile = /usr/local/ispconfig/interface/ssl/startssl.chain.class1.server.crt'

(Пожалуйста, настройте это, если вы используете сертификат Class2.)

… и перезапустите Postfix:

/etc/init.d/postfix restart

7 Dovecot

Откройте /etc/dovecot/dovecot.conf…

vi /etc/dovecot/dovecot.conf

Для Dovecot 1.x:

… и добавьте строку ssl_ca_file = /usr/local/ispconfig/interface/ssl/startssl.chain.class1.server.crt (пожалуйста, имейте в виду, что вам нужно будет повторно добавить эту строку каждый раз, когда вы обновляете ISPConfig!):

| [...] ssl_cert_file = /etc/postfix/smtpd.cert ssl_key_file = /etc/postfix/smtpd.key ## must be re-added after an ISPConfig update!!! ssl_ca_file = /usr/local/ispconfig/interface/ssl/startssl.chain.class1.server.crt [...] |

(Настройте это, если вы используете сертификат Class2.)

Для Dovecot 2.x:

… и добавьте строку ssl_ca_file = /usr/local/ispconfig/interface/ssl/startssl.chain.class1.server.crt (пожалуйста, имейте в виду, что вам нужно будет повторно добавить эту строку каждый раз, когда вы обновляете ISPConfig!):

| [...] ssl_cert = |

(Настройте это, если вы используете сертификат Class2.)

Перезапустите Dovecot:

/etc/init.d/dovecot restart

8 Courier

Создайте резервные копии /etc/courier/imapd.pem и /etc/courier/pop3d.pem…

mv /etc/courier/imapd.pem /etc/courier/imapd.pem.bak  
mv /etc/courier/pop3d.pem /etc/courier/pop3d.pem.bak

… а затем создайте символические ссылки на /usr/local/ispconfig/interface/ssl/ispserver.pem:

ln -s /usr/local/ispconfig/interface/ssl/ispserver.pem /etc/courier/imapd.pem  
ln -s /usr/local/ispconfig/interface/ssl/ispserver.pem /etc/courier/pop3d.pem

Перезапустите Courier:

/etc/init.d/courier-imap-ssl stop  
/etc/init.d/courier-imap-ssl start  
/etc/init.d/courier-pop-ssl stop  
/etc/init.d/courier-pop-ssl start

9 PureFTPd

Создайте резервную копию /etc/ssl/private/pure-ftpd.pem…

cd /etc/ssl/private/  
mv pure-ftpd.pem pure-ftpd.pem_bak

… и создайте символическую ссылку на /usr/local/ispconfig/interface/ssl/ispserver.pem:

ln -s /usr/local/ispconfig/interface/ssl/ispserver.pem pure-ftpd.pem

Перезапустите PureFTPd:

/etc/init.d/pure-ftpd-mysql restart

10 Monit

Monit не является частью настроек “Совершенного сервера” для ISPConfig 3, но если вы его установили и используете его веб-интерфейс через https, вот как вы можете использовать сертификат StartSSL, чтобы избавиться от предупреждений о сертификате.

Откройте /etc/monit/monitrc…

vi /etc/monit/monitrc

… и укажите /usr/local/ispconfig/interface/ssl/ispserver.pem в строке PEMFILE, например, следующим образом:

| [...] set httpd port 2812 and SSL ENABLE PEMFILE /usr/local/ispconfig/interface/ssl/ispserver.pem allow admin:secret [...] |

Перезапустите monit:

/etc/init.d/monit restart

11 Ссылки

• StartSSL: http://www.startssl.com/
• ISPConfig: http://www.ispconfig.org/

Об авторе

Фалько Тимме является владельцем Timme Hosting (ультра-быстрый веб-хостинг на nginx). Он является ведущим куратором HowtoForge (с 2005 года) и одним из основных разработчиков ISPConfig (с 2000 года). Он также внес вклад в книгу O’Reilly “Администрирование систем Linux”.