قرار گذاشتن DAبا گواهیSSL
شما میتوانید به حالت ادمین مستقیم یا (direct admin)تغییر داده تا بتوانید از ssl بجای متن های ساده استفاده کنید و گواهی دلخواه را بسازید.
به یاد داشه باشید این اموزش برای ادمین مستقیم بر روی پورت ۲۲۲۲ هست و نه برای اپاچی.
ساختن یک گواهی دست ساز:
اگر که شما گواهی مختص به خودتان را ندارید میتوانید وارد کردن کدهایی که ما به شما میدهیم را شروع کنید.
/usr/bin/openssl req -x509 -sha256 -newkey rsa:4096 -keyout /usr/local/directadmin/conf/cakey.pem -out /usr/local/directadmin/conf/cacert.pem -days 9000 -nodes
chown diradmin:diradmin /usr/local/directadmin/conf/cakey.pem chmod 400 /usr/local/directadmin/conf/cakey.pem
وارد کردن یک گواهی خریداری شده:
اگر که شما از قبل شماره کلید گواهی خریداری شده را دارید آن را به فایل های زیر انتقال دهید:
certificate: /usr/local/directadmin/conf/cacert.pem
key: /usr/local/directadmin/conf/cakey.pem
/usr/local/directadmin/conf/directadmin.confرا ویرایش کنید و ssl را بر روی ۱ قرار دهید,در حالت پیش فرض sslبر روی ۰ تنظیم شده است.این فرمان به ادمین مستقیم شما میگوید که گواهی را بارگزاری کند و به کلید فرمان میدهد تا از اتصال ssl استفاده کند.اطمینان حاصل کنید directadmin.confشما مقادیر را درست وارد کرده باشد.
cacert=/usr/local/directadmin/conf/cacert.pem cakey=/usr/local/directadmin/conf/cakey.pem
اما در صورت نیاز میتوان آنهارا تغییر داد.ادمین مستقیم ها بعد از هر تغیری کوچکی درdirectadmin.conf. نیاز دارد که ریستارت شوند,اگر که شما گواهی CA Root Certificateرا دارید با وارد کردن کد زیر میتوانید آنهارا هم اضافه کنید.
carootcert=/usr/local/directadmin/conf/carootcert.pem
استفاده از ابزار رایگان Lets encryptبرای امن کردن ۲۲۲۲:
مثل ادمین مستقیم ۱٫۵۰٫۰ما قابلیتی اضاف کردیم که به شما اجازه میدهد,با استفاده از آن گواهی ssl دریافت کنید.
۱)در قدم اول lets encrypt را در سیستمتان فعال کنید.
۲)و بعد گواهی برنامه را برای host name خود تنظیم کنید.
ساختن گواهی اشتراک گذاشته شده سرور:
کدی که برای شما قرار میدهیم یک گواهی به شاتراک گذاشته سرور را به شما خواهد داد.
/usr/bin/openssl req -sha256 -x509 -newkey rsa:4096 -keyout /etc/httpd/conf/ssl.key/server.key -out /etc/httpd/conf/ssl.crt/server.crt -days 9000 -nodes
همچنین شما میتوانید برای انجام این کار از ادمین مستقیم هم استفاده کنید:برای این کار به عنوان ادمین وارد شوید,بر روی سطع کاربر کلیک کنید,از دامین که زیر ادمین بوجود اومده استفاده کنید (اگر دامین وجود ندارد اهمیتی ندارد میتوانیدتقلبی آنرا بسازید و استفاده کنید)
به گواهی ssl رفته,با این فرض که ادمین استفاده از سرور را تعیین میکند و گواهی که خودمان طراحی کرده ایم server.crtو فایل های server.keyرا میسازد.در ضمن اگر شما گواهی را میسازید,مراقبت باشید چون در حالی که شما اینکار را انجام میدهید یک درخواست گواهی و keyثبت خواهد شد,در حین این پردازش کلید ها ذخیره نمیماند(بجز برای ادمین ها بر روی ای پی سرور),پس فراموش نکنید که حتمن در جایی امن گواهی ها و کلید هارا ذخیر داشته باشید.
روش ساختن /etc/exim.cert and /etc/exim.key:
اگر که میخواهید exim.certجدیدی بسازید یا فایل های exim.key کد زیر را وارد کنید:
/usr/bin/openssl req -x509 -sha256 -days 9000 -nodes -newkey rsa:4096 -keyout /etc/exim.key -out /etc/exim.cert
و جواب تمام سوالات را به مقادیر و اطلاعاتی که میخواهید گواهی داشته باشد میتوانید پر کنید و پس از اتمام کارتان کد بعدی را وارد کنید:
chown mail:mail /etc/exim.key chmod 644 /etc/exim.key chmod 644 /etc/exim.cert /etc/init.d/exim restart
پیام های خطاهای مربوطه در /var/log/exim/mainlog:
(SSL_CTX_use_PrivateKey_file file=/etc/exim.key): error:0200100D:system library:fopen:Permission denied
به یاد داشته باشید که /etc/proftpd.confهم از انها استفاده میکنند.
گواهی SSLبا dovecot
به صورت پیش فرض /etc/dovecot/dovecot.confازفایل های exim cert/keyاستفاده میکند.
/etc/exim.cert /etc/exim.key
اینجا جاییست که باید فایل ها را قرار دهید.همچنین Dovecot از گواهی ای پی ها پشتیبانی میکن,در صورتی که به چندین گواهی از dovecotاحتیاج داشتید./etc/dovecot/dovecot.conf additions:
local_name 1.2.3.4 {
ssl_cert = </etc/ssl/certs/imap.example.org.crt
ssl_key = </etc/ssl/private/imap.example.org.key
}
local_name 1.2.3.5 {
ssl_cert = </etc/ssl/certs/imap.example2.org.crt
ssl_key = </etc/ssl/private/imap.example2.org.key
}
مسیر ها و مقادیر هارا هر طور که میخواهید مشخص کنید.مطمع شوید که گواهی ها و کلید ها از طریق “mail”.قابل خواندن هستند.سرور های جدید تر و mailهای جدید تر ممکن است از SNI پشتیبانی کنند(که البته ما به شما پیشنهاد نمیکنیم)در برخی شما میتوانید ipsهای را به جای مقادیر local name قرار دهید بوسیله مقادیر واقعی “imap.domain.com”,اما به عنوان کاربر باید دقیقا از همان مقادیر استفاده کرد تا اثر گذار باشند.
گواهی های سطح بالا:
اگر که شما گواهی CA Root را دارید میتوانید خط زیر را در /etc/dovecot/dovecot.conf.خود جاگذاری کنید:
/etc/exim.cacert
و دیگر نیازی به اضافه کردن :
ssl_ca = </etc/exim.cacert
ندارید.همچنین ممکن از بخواهید با “chattr +i dovecot.conf” بخش dovecot.confخود را قفل گنید تا از هشدار فرستادن کاستوم بیلد جلوگیری کنید.
بروزرسانی:اگر شما به سادگی باندل caرا در /etc/exim.certقرار دهید,دقیقا در زیر گواهی اصلی,dovecotآنرا به درستی میخواند.با اینجام اینکار در eximو یا dovecotشما را از نوشتن و تغییر دادن در فایل های exim.confو dovecot.conf راحت میکند.
مشکل کار نکردن SSHبعد از نصب با اکانت های قدیمی:
تمامی اکانت های SSHکه بااستفاده از ادمین مستقیم (direct admin)ساخته شده اند,تنظیمات AllowUsersرا به فایل های /etc/ssh/sshd_configاضافه میکنند.زمانی که شما ادمین مستقیم را نصب میکنید,گزینه “root” و ”admin”را در بخش تنیمات AllowUsersاضافه میکند.تمامی کاربرانی که اکانت SSHرا در سیستم خود داشتند,نیاز دارند که فایل ها را اضافه کنند تا دسترسی به سرور با SSHبرای انها ممکن بشود.
نحوه راه اندازی Mail system:
مشکل رایجی که همه با ان روبرو میشوند راه اندازی اشتباه mail systemاست.در اینجا ما لیستی از قواعد و قانون هایی که باعث با آنها توجه شود را قرار داده ایم:
۱)نام های هاست(host name) و دامین ها (domain)که در حال استفاده هستند باید متفاوت باشد.به طور مثال اگر دامینی به اسم domain.comدارید و میخواهید ایمیلی بر روی اکانت user@domain.comدریافت کنید,نباید نام هاست خود را domain.comقرار دهید.ما به شما پیشنهاد میکنیم در عوض از server.domain.com استفاده کنید.برای حل این مشکل مطمعن شوید سابقه ای برای server.domain.comقرار دهید.
۲)نام هاست شما باید در فایل های /etc/virtual/domainsباشد.
۳)نام هاست شما نباید در بین فایل های /etc/virtual/domainownersباشد.
۴)نام هاست شما باید انرا حل کند,اگر که اینکار را نکرد میتواند با اضافه کردن سابقه به منطقه dnsخود مشکل را حل کنید.
۵)دو مسیر /etc/virtual/hostnameو /etc/virtual/server.domain.comباید وجود داشته باشند و هیچ فایلی در آنها وجود نداشته باشد.
۶)هر دامینی را که میخواهید برای ایمیل استفاده کنید(برای مثال:domain.com) باید در هر دو مسیر /etc/virtual/domains file and the /etc/virtual/domainowners fileوجود داشته باشند و فایل آنها هم همینطور.مسیر /etc/virtual/domain.comباید وجود داشته باشد و همینطور فایل /etc/virtual/domain.comباید وجود داشته باشد.
۷)دسترسی فایل ها برای جعبه دریافت های مجازی و بالا امدن آنها به کد زیر نیاز دارد:
/var/spool/virtual/domain.com 770 username:mail /var/spool/virtual/domain.com/* 660 username:mail
۸)مطمعن شوید اسم هاست شما تماما با حروف کوچک نوشته شده است.
۹)مطمعن شوید که سرور اصلی شما یک پشتیبانی وارونه دارد.
