Сертификаты Let's Encrypt пользуются популярностью среди системных администраторов благодаря их бесплатности и наличию удобного инструментария для их получения. Несмотря на небольшой срок действия таких сертификатов, плюсы от их использования значительно превышают минусы от необходимости освежать их каждые три месяца. В данной статье мы расскажем о том, как администратор Carbonio может установить сертификаты Let's Encrypt, используя встроенные инструменты почтового сервера.

Данная статья подходит для пользователей коммерческой версии Carbonio, а также частично для пользователей Carbonio Community Edition.

В недавнем обновлении Carbonio 23.05 разработчики убрали возможность незащищенного входа на почтовый сервер. Теперь для входа в веб‑клиент или консоль администратора в обязательном порядке требуется наличие SSL‑сертификата. При установке Carbonio автоматически генерируется самоподписанный сертификат сроком на 5 лет. Он выдается на публичное имя хоста почтового сервера, которое указывается при установке и имеет массу ограничений.

К примеру, самоподписанный сертификат приводит к появлению предупреждения в браузере при попытке пользователя войти в веб‑клиент, а также делает невозможным подключение к серверу Carbonio с использованием мобильного приложения. Есть и более неочевидные ограничения. К примеру, для получения статуса free/busy в Outlook требование наличия на сервере достоверного сертификата является обязательным.

Поскольку Carbonio является мультитенантным решением, которое поддерживает создание множества почтовых доменов и виртуальных имен хостов для доступа к ним, администратору может потребоваться установить отдельный сертификат для каждого их них. Самым простым способом является установка сертификатов в консоли администратора.

Установка сертификата в консоли администратора

Добавление имен виртуальных хостов для почтовых доменов происходит на вкладке «Домены» Консоли администратора. Администратору требуется выбрать нужный домен из выпадающего списка.

Выбрав домен, перейдите в раздел «Виртуальные хосты и сертификаты». Здесь администратор может присвоить почтовому домену имена виртуальных хостов, а также установить сертификаты на эти имена.

Обращаем внимание на то, что имя виртуального хоста должно содержать имя почтового домена. К примеру, если ваш домен называется example.ru, то в качестве имени виртуального хоста можно использовать mail.example.ru или carbonio.example.ru, но, к примеру, example.carbonio.ru использовать не получится.

В случае использования нескольких имен виртуальных хостов для доступа к одному почтовому домену, следует устанавливать wildcard‑сертификат. Такой SSL‑сертификат покрывает не только конкретное доменное имя, но поддомены. К примеру, если для доменного имени mail.example.ru достаточно одного сертификата с соответствующим именем, то для доменных имен mail.example.ru и carbonio.example.ru потребуется wildcard‑сертификат *.example.ru.

После создания доменного имени выберите его и нажмите на кнопку «Загрузить и проверить сертификат». В открывшемся окне можно загрузить с диска устройства файлы, содержащие сертификаты.

Всего пользователю требуется загрузить три файла, среди которых сам сертификат на доменное имя, цепочка сертификатов удостоверяющих центров, а также приватный ключ, который будет использоваться при установке защищенного соединения. Обращаем внимание на важность наличия прав доступа к файлам с сертификатами. После успешной загрузки файлов в соответствующих полях отображается их содержимое.

Нажмите кнопку «Проверить», чтобы верифицировать загруженные данные перед установкой. В случае, если все в порядке, отобразится уведомление о корректности загруженных данных, а надпись на кнопке изменится на «Я хочу использовать этот сертификат». При нажатии на нее произойдет установка сертификата.

После окончания установки сертификата для домена, соответствующая страница будет иметь следующий вид.

Установка сертификата делегированным администратором

Главным недостатком сертификатов Let’s Encrypt является низкий срок их действия, который составляет три месяца. В случае, если в почтовой системе заведено несколько десятков доменов, регулярное обновление сертификатов может стать обременительной задачей для администратора. В коммерческой версии поддерживается делегирование прав администрирования на конкретный домен. Глобальный администратор может назначить администратором домена одного из пользователей, после чего тот сможет управлять пользователями в данном домене, а также самостоятельно создавать имена виртуальных хостов и обновлять SSL-сертификат для него.

Процесс установки сертификата для делегированного пользователя отличается от соответствующего процесса для глобального администратора только тем, что на этапе выбора домена он может выбирать не из всех доменов в системе, а только из тех, права на которые ему делегированы. 

Отметим, что смена сертификата и все изменения, которые вносятся в настройки виртуальных хостов домена, вступают в силу после перезагрузки узла Proxy. Поскольку перезагрузка серверов доступна только администратору системы, делегированному администратору следует согласовывать с глобальным администратором работы по обновлению сертификата домена.

По вопросам тестирования, приобретения, предоставления лицензии и консультаций обращаться на почту sales@svzcloud.ru к эксклюзивному партнеру Zextras.