Como emito corretamente o certificado Let's Encrypt para meu servidor de e-mail Postfix? No momento, tenho um certificado autoassinado e recebo essas mensagens de que não é confiável.
Eu fiz certbot --nginx certonly -d mail.example.org e aparentemente é autoassinado.
Dan está correto - a
--certonlyopção diz ao certbot para obter o certificado, mas não fazer nada com ele. O script terá informado onde esse certificado está agora, provavelmente/etc/letsencrypt/live/mail.example.org, como arquivos chamadoscert.pem,chain.pem,fullchain.pemeprivkey.pem. Você entraria na configuração do Postfix e alteraria os caminhos do certificado para apontar para esses arquivos. Depois de fazer isso, é claro, você reiniciaria o Postfix.Se bem me lembro, acredito que você pode executar o Certbot para adquirir o certificado SSL por conta própria, sem configurar seus arquivos vhost do Apache. Em seguida, você apontaria sua configuração SSL do Postfix para o diretório onde o Certbot salvou seus arquivos de certificado.
Let's Encrypt, desde o Certbot 2.0 , emite certificados ECC por padrão. Alguns sistemas de envio de correio ainda não suportam esses, mas apenas certificados RSA. Portanto, para emitir certificados corretamente para um servidor de correio Postfix, você precisaria de dois conjuntos de arquivos de certificado + chave:
key-typeVocê pode obtê - los comentando/etc/letsencrypt/cli.inie emitindo os certificados com a--key-typeopção na linha de comando. Essa parte é crucial, porque as configuraçõescli.inisubstituirão as do/etc/letsencrypt/renewal/*.conf, o que interromperá as coisas na próxima renovação automática. Por exemplo,Uma resposta mais elaborada: https://serverfault.com/a/1151326/274176