Сертификаты Let's Encrypt пользуются популярностью среди системных администраторов благодаря их бесплатности и наличию удобного инструментария для их получения. Несмотря на небольшой срок действия таких сертификатов, плюсы от их использования значительно превышают минусы от необходимости освежать их каждые три месяца. В данной статье мы расскажем о том, как администратор Carbonio может установить сертификаты Let's Encrypt, используя встроенные инструменты почтового сервера.
![](https://habrastorage.org/getpro/habr/upload_files/702/8f1/61b/7028f161bc1a1aceee44b04ecda082e2.png)
Данная статья подходит для пользователей коммерческой версии Carbonio, а также частично для пользователей Carbonio Community Edition.
В недавнем обновлении Carbonio 23.05 разработчики убрали возможность незащищенного входа на почтовый сервер. Теперь для входа в веб‑клиент или консоль администратора в обязательном порядке требуется наличие SSL‑сертификата. При установке Carbonio автоматически генерируется самоподписанный сертификат сроком на 5 лет. Он выдается на публичное имя хоста почтового сервера, которое указывается при установке и имеет массу ограничений.
![](https://habrastorage.org/getpro/habr/upload_files/e3b/fbe/407/e3bfbe407f858ba8516ba00ab6a19046.png)
К примеру, самоподписанный сертификат приводит к появлению предупреждения в браузере при попытке пользователя войти в веб‑клиент, а также делает невозможным подключение к серверу Carbonio с использованием мобильного приложения. Есть и более неочевидные ограничения. К примеру, для получения статуса free/busy в Outlook требование наличия на сервере достоверного сертификата является обязательным.
Поскольку Carbonio является мультитенантным решением, которое поддерживает создание множества почтовых доменов и виртуальных имен хостов для доступа к ним, администратору может потребоваться установить отдельный сертификат для каждого их них. Самым простым способом является установка сертификатов в консоли администратора.
Установка сертификата в консоли администратора
Добавление имен виртуальных хостов для почтовых доменов происходит на вкладке «Домены» Консоли администратора. Администратору требуется выбрать нужный домен из выпадающего списка.
![](https://habrastorage.org/getpro/habr/upload_files/791/f5c/7e0/791f5c7e0be41d32b424eef0810d33db.png)
Выбрав домен, перейдите в раздел «Виртуальные хосты и сертификаты». Здесь администратор может присвоить почтовому домену имена виртуальных хостов, а также установить сертификаты на эти имена.
![](https://habrastorage.org/getpro/habr/upload_files/d05/02e/6fd/d0502e6fd656bbea4a6a93bab3cb723d.png)
Обращаем внимание на то, что имя виртуального хоста должно содержать имя почтового домена. К примеру, если ваш домен называется example.ru, то в качестве имени виртуального хоста можно использовать mail.example.ru или carbonio.example.ru, но, к примеру, example.carbonio.ru использовать не получится.
В случае использования нескольких имен виртуальных хостов для доступа к одному почтовому домену, следует устанавливать wildcard‑сертификат. Такой SSL‑сертификат покрывает не только конкретное доменное имя, но поддомены. К примеру, если для доменного имени mail.example.ru достаточно одного сертификата с соответствующим именем, то для доменных имен mail.example.ru и carbonio.example.ru потребуется wildcard‑сертификат *.example.ru.
После создания доменного имени выберите его и нажмите на кнопку «Загрузить и проверить сертификат». В открывшемся окне можно загрузить с диска устройства файлы, содержащие сертификаты.
![](https://habrastorage.org/getpro/habr/upload_files/398/14d/313/39814d313cfe3e72f2c796f367f12fe5.png)
Всего пользователю требуется загрузить три файла, среди которых сам сертификат на доменное имя, цепочка сертификатов удостоверяющих центров, а также приватный ключ, который будет использоваться при установке защищенного соединения. Обращаем внимание на важность наличия прав доступа к файлам с сертификатами. После успешной загрузки файлов в соответствующих полях отображается их содержимое.
![](https://habrastorage.org/getpro/habr/upload_files/585/76b/722/58576b7228d6edb9ead10c1481d2b697.png)
Нажмите кнопку «Проверить», чтобы верифицировать загруженные данные перед установкой. В случае, если все в порядке, отобразится уведомление о корректности загруженных данных, а надпись на кнопке изменится на «Я хочу использовать этот сертификат». При нажатии на нее произойдет установка сертификата.
![](https://habrastorage.org/getpro/habr/upload_files/774/e45/987/774e459872c1abab90edf4c88d799224.png)
После окончания установки сертификата для домена, соответствующая страница будет иметь следующий вид.
![](https://habrastorage.org/getpro/habr/upload_files/32a/dd2/d76/32add2d76ada67a6c99b9ea30a71ba6f.png)
Установка сертификата делегированным администратором
Главным недостатком сертификатов Let’s Encrypt является низкий срок их действия, который составляет три месяца. В случае, если в почтовой системе заведено несколько десятков доменов, регулярное обновление сертификатов может стать обременительной задачей для администратора. В коммерческой версии поддерживается делегирование прав администрирования на конкретный домен. Глобальный администратор может назначить администратором домена одного из пользователей, после чего тот сможет управлять пользователями в данном домене, а также самостоятельно создавать имена виртуальных хостов и обновлять SSL-сертификат для него.
Процесс установки сертификата для делегированного пользователя отличается от соответствующего процесса для глобального администратора только тем, что на этапе выбора домена он может выбирать не из всех доменов в системе, а только из тех, права на которые ему делегированы.
![](https://habrastorage.org/getpro/habr/upload_files/2b5/e56/784/2b5e567845a3b98499b043ac70269887.png)
Отметим, что смена сертификата и все изменения, которые вносятся в настройки виртуальных хостов домена, вступают в силу после перезагрузки узла Proxy. Поскольку перезагрузка серверов доступна только администратору системы, делегированному администратору следует согласовывать с глобальным администратором работы по обновлению сертификата домена.
По вопросам тестирования, приобретения, предоставления лицензии и консультаций обращаться на почту sales@svzcloud.ru к эксклюзивному партнеру Zextras.
Lazhu
Еще один "чукча-не-читатель"
Что там "другого"? Под капотом этой вебморды те же postfix/exim, dovecot, clamav, SA. В letsencrypt/live, откуда вы их "добавляете", лежат симлинки на реальные сертификаты, обновляющиеся автоматически сертботом из крона. Выучите наконец матчасть чуть дальше тыканья мышкой в броузере ;)
Zextras Автор
Добрый день. Обновлять сертификаты в Certbot - это одно, а устанавливать их после этого в Carbonio - это другое