トレーニングのためにメールサーバを運用していたのですが、今頃になって、今後の安全のためにSSL化に挑戦。サーバ証明書はさくらインターネットさんからJPRSドメイン認証型を購入しました。
キーファイル
/usr/local/ssl/bin/mail.example.com.key
発行されたサーバ証明書ファイル
/usr/local/ssl/bin/mail.example.com.crt
それぞれバックアップをしっかりとってからスタート。
他に事前準備としては、iptablesまたはfirewalldでポート開放も忘れずに。
まずは、dovecot用のチェーンファイルを作る。ルート証明書まできっちり入れないと、Gmailが納得してくれませんでした。気のせいかもしれませんが一通り入れておきます。
# cat /usr/local/ssl/bin/mail.example.com.crt > /usr/local/ssl/bin/mail.example.com.dovecot.crt
# vi /usr/local/ssl/bin/mail.example.com.dovecot.crt
-----BEGIN CERTIFICATE-----
・・・発行されたサーバ証明書・・・
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
・・・中間証明書・・・
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
・・・ルート証明書・・・
-----END CERTIFICATE-----
作ったらdovecotの設定。
# vi /etc/dovecot/conf.d/10-ssl.conf
ssl = required
ssl_cert = </usr/local/ssl/bin/mail.example.com.dovecot.crt
ssl_key = </usr/local/ssl/bin/mail.example.com.key
私のケースではsslを強制。強制しない場合はssl = yesとする。
最後に再起動。
# systemctl restart dovecot.service