CÁC BÀI VIẾT KHÁC

ĐỌC NHIỀU

Bảo mật quá trình cài đặt ISPConfig 3 với Certificate Class1 SSL của StartSSL (P.3)

Giao diện ISPConfig – Apache2:

Nếu các bạn sử dụng ISPConfig 3 với Apache, hãy mở file /etc/apache2/sites-available/ispconfig.vhost bằng lệnh:
vi /etc/apache2/sites-available/ispconfig.vhost sau đó, thêm dòng SSLCertificateChainFile /usr/local/ispconfig/interface/ssl/startssl.sub.class1.server.ca.crt vào phần # SSL Configuration như dưới đây:
[...]
# SSL Configuration
SSLEngine On
SSLCertificateFile /usr/local/ispconfig/interface/ssl/ispserver.crt
SSLCertificateKeyFile /usr/local/ispconfig/interface/ssl/ispserver.key
## must be re-added after an ISPConfig update!!!
SSLCertificateChainFile /usr/local/ispconfig/interface/ssl/startssl.sub.class1.server.ca.crt
[...]

Các bạn lưu ý thay đổi thông số kỹ thuật phù hợp nếu dùng certificate Class2, khởi động lại Apache:
/etc/init.d/apache2 restart
Giao diện ISPConfig – nginx:

Trên nginx, tất cả những gì chúng ta cần làm ở đây là áp dụng intermediate certificate tới file ispserver.crt:
cat /usr/local/ispconfig/interface/ssl/startssl.sub.class1.server.ca.crt >> /usr/local/ispconfig/interface/ssl/ispserver.crt

sau đó reload lại nginx:
/etc/init.d/nginx reload
Với Postfix:

Đối với Postfix, chúng ta cần phải sao lưu /etc/postfix/smtpd.cert, /etc/postfix/smtpd.key sau đó tạo symlink tới /usr/local/ispconfig/interface/ssl/ispserver.crt và /usr/local/ispconfig/interface/ssl/ispserver.key:
cd /etc/postfix
mv smtpd.cert smtpd.cert_bak
mv smtpd.key smtpd.key_bak
ln -s /usr/local/ispconfig/interface/ssl/ispserver.crt smtpd.cert
ln -s /usr/local/ispconfig/interface/ssl/ispserver.key smtpd.key

Tiếp theo, gán smtpd_tls_CAfile vào file /etc/postfix/main.cf:
postconf -e 'smtpd_tls_CAfile = /usr/local/ispconfig/interface/ssl/startssl.chain.class1.server.crt'

Và cuối cùng là khởi động lại Postfix:
/etc/init.d/postfix restart
Với Dovecot:

Để thực hiện, các bạn mở file /etc/dovecot/dovecot.conf:
vi /etc/dovecot/dovecot.conf

và gán thêm dòng ssl_ca_file = /usr/local/ispconfig/interface/ssl/startssl.chain.class1.server.crt (lưu ý rằng các bạn phải làm lại thao tác này sau khi cập nhật ISPConfig):
[...]
ssl_cert_file = /etc/postfix/smtpd.cert
ssl_key_file = /etc/postfix/smtpd.key
## must be re-added after an ISPConfig update!!!
ssl_ca_file = /usr/local/ispconfig/interface/ssl/startssl.chain.class1.server.crt
[...]

Khởi động lại Dovecot:
/etc/init.d/dovecot restart
Courier:

Việc cần làm trước tiên ở đây là sao lưu file /etc/courier/imapd.pem và /etc/courier/pop3d.pem:
mv /etc/courier/imapd.pem /etc/courier/imapd.pem.bak
mv /etc/courier/pop3d.pem /etc/courier/pop3d.pem.bak

Sau đó, kết nối tới /usr/local/ispconfig/interface/ssl/ispserver.pem bằng lệnh:
ln -s /usr/local/ispconfig/interface/ssl/ispserver.pem /etc/courier/imapd.pem
ln -s /usr/local/ispconfig/interface/ssl/ispserver.pem /etc/courier/pop3d.pem

Khởi động lại Courier:
/etc/init.d/courier-imap-ssl stop
/etc/init.d/courier-imap-ssl start
/etc/init.d/courier-pop-ssl stop
/etc/init.d/courier-pop-ssl start
PureFTPd:

Cũng tương tự như trên, chúng ta phải sao lưu file /etc/ssl/private/pure-ftpd.pem trước tiên:
cd /etc/ssl/private/
mv pure-ftpd.pem pure-ftpd.pem_bak

Tạo liên kết tới /usr/local/ispconfig/interface/ssl/ispserver.pem:
ln -s /usr/local/ispconfig/interface/ssl/ispserver.pem pure-ftpd.pem

Khởi động lại PureFTPd:
/etc/init.d/pure-ftpd-mysql restart

Monit:

Nếu các bạn đã cài đặt và sử dụng Monit qua giao thức HTTPS, thì có thể dùng certificate StartSSL để loại bỏ bớt các thông báo không thực sự cần thiết. Mở file /etc/monit/monitrc:
vi /etc/monit/monitrc

và xác định rõ /usr/local/ispconfig/interface/ssl/ispserver.pem tại dòng PEMFILE. Ví dụ như dưới đây:
[...]
set httpd port 2812 and
SSL ENABLE
PEMFILE /usr/local/ispconfig/interface/ssl/ispserver.pem
allow admin:secret
[...]

Khởi động lại Monit:
/etc/init.d/monit restart

Như vậy là chúng ta đã hoàn tất các bước cơ bản để bảo mật quá trình cài đặt ISPConfig 3 với Certificate Class1 SSL của StartSSL. Chúc các bạn thành công!