Налаштування сертифікатів поштових доменів після оновлення ispmanager

Після оновлення ISPmanager може знадобитися переналаштування сертифікатів для поштових доменів.

Для чого це необхідно

Сучасні поштові сервери та клієнти вимагають використання захищених з'єднань. Багато поштових клієнтів можуть відмовити в під'єднанні до серверів, які не підтримують SSL/TLS, що призведе до проблем із доставкою пошти. Також після оновлення ISPmanager можуть змінитися налаштування або шляхи до сертифікатів.

Важливо переконатися, що всі налаштування відповідають новим вимогам, щоб уникнути проблем із роботою пошти. Можливість під'єднання сертифікатів до поштових доменів увімкнена за замовчуванням тільки для нових налаштувань панелі версії не нижче 5.66.0, тому після оновлення існуючої панелі з версії 5.66.0 і нижче, вам необхідно буде налаштувати цю функціональність вручну.

Інструкція з налаштування сертифікатів

Налаштування сертифікатів поштових доменів після оновлення ISPmanager - це важливий крок для забезпечення безпеки, стабільності та надійності роботи поштових сервісів.

У кінець конфігураційного файлу за шляхом /usr/local/mgr5/etc/ispmgr.conf.d/mta.conf додайте такий рядок:

path exim-certdir /etc/exim/ssl - для CentOS 7 и CloudLinux;
path exim-certdir /etc/exim4/ssl - для Debian и Ubuntu.

Якщо файл за шляхом /usr/local/mgr5/etc/ispmgr.conf.d/mta.conf відсутній, то внесіть зміни у файл /usr/local/mgr5/etc/conf.d/exim.conf.

Додайте наступний рядок у кінець конфігураційного файлу /usr/local/mgr5/etc/ispmgr.conf.d/dovecot.conf:

path dovecot-certconf /etc/dovecot/certs

Потім внесіть зміни в такі рядки в конфігураційному файлі Dovecot за шляхом /etc/dovecot/conf.d/10-ssl.conf:

Для CentOS і CloudLinux:

ssl = yes
ssl_cert = </etc/exim/ssl/exim.crt>
ssl_key = </etc/exim/ssl/exim.key>
!include_try /etc/dovecot/certs/*.conf

Для Debian і Ubuntu:

ssl = yes
ssl_cert = </etc/exim4/ssl/exim.crt>
ssl_key = </etc/exim4/ssl/exim.key>
!include_try /etc/dovecot/certs/*.conf

Змініть налаштування SSL у конфігураційному файлі Exim за шляхом /etc/exim/exim.conf (для Debian і Ubuntu - це /etc/exim4/exim4.conf.template):

Для CentOS і CloudLinux:

log_selector =  
       +all_parents 
       +lost_incoming_connection 
       +received_sender 
       +received_recipients 
       +tls_cipher +tls_peerdn +tls_sni 
       +smtp_confirmation 
       +smtp_syntax_error 
       +smtp_protocol_error

# TLS/SSL
 tls_advertise_hosts = *
 tls_certificate = ${if exists{/etc/exim4/ssl/${tls_sni}.crt}{/etc/exi4m/ssl/${tls_sni}.crt}{/etc/exim4/ssl/exim.crt}}
 tls_privatekey = ${if exists{/etc/exim4/ssl/${tls_sni}.key}{/etc/exim4/ssl/${tls_sni}.key}{/etc/exim4/ssl/exim.key}}
 daemon_smtp_ports = 25 : 465 : 587
 tls_on_connect_ports = 465

Для Debian і Ubuntu:

og_selector =  
       +all_parents 
       +lost_incoming_connection 
       +received_sender 
       +received_recipients 
       +tls_cipher +tls_peerdn +tls_sni 
       +smtp_confirmation 
       +smtp_syntax_error 
       +smtp_protocol_error

# TLS/SSL
 tls_advertise_hosts = *
 tls_certificate = ${if exists{/etc/exim/ssl/${tls_sni}.crt}{/etc/exim/ssl/${tls_sni}.crt}{/etc/exim/ssl/exim.crt}}
 tls_privatekey = ${if exists{/etc/exim/ssl/${tls_sni}.key}{/etc/exim/ssl/${tls_sni}.key}{/etc/exim/ssl/exim.key}}
 daemon_smtp_ports = 25 : 465 : 587
 tls_on_connect_ports = 465

Після внесення всіх змін необхідно перезавантажити служби поштових серверів і самої панелі, виконавши такі команди:

systemctl restart dovecot - перезапуск служби поштового сервера Dovecot;
systemctl restart exim або systemctl restart exim4 для Debian і Ubuntu - перезапуск служби поштового сервера Exim;