Utilizzo di un certificato gratuito di Let’s Encrypt con MailStore Server

Posted by adminmst in guide all'utilizzo on 02 11th, 2020 | no comments

Traduzione a cura di Naonis dell’articolo apparso nel sito del produttore al seguente link:

https://help.mailstore.com/en/server/Using_Lets_Encrypt_Certificates

Contenuti

  1. Introduzione
  2. Informazioni su Let’s Encrypt
  3. Prerequisiti
  4. Scenario 1: Server MailStore su rete locale (LAN)
  5. Scenario 2: Server MailStore su rete esterna
  6. Ottenere il certificato

Introduzione

Per garantire autenticità e sicurezza, MailStore Server utilizza i certificati TLS in tutti i servizi attivabili. Durante l’installazione MailStore Server consente di scegliere tra :

  • creare un certificato autofirmato,
  • utilizzare un certificato commerciale acquistato da un’autorità di certificazione attendibile,
  • ottenere un certificato gratuito da Let’s Encrypt.

La scelta predefinita di creare un certificato autofirmato viene spesso utilizzata quando si installa MailStore Server per la prima volta, poiché non viene fornita alcuna dipendenza esterna da risolvere. Sebbene ciò vada perfettamente bene in un’installazione non in produzione, non è la scelta raccomandata per l’uso in produzione, poiché i certificati autofirmati non sono considerati attendibili dai browser dei computer client, poiché non sono stati firmati da un’autorità di certificazione attendibile e l’utilizzatore potrebbe abituarsi a ignorare gli avvisi sui certificati, facilitando quindi attacchi di tipo “man in the middle”.

Il seguente messaggio di avviso (o similare) viene visualizzato da un browser quando si apre MailStore Web Access avendo utilizzato un certificato autofirmato.

Per eliminare questi avvisi e aumentare la sicurezza nelle trasmissioni dei dati cambiati, MailStore va configurato per utilizzare un certificato rilasciato da un’autorità di certificazione attendibile.

Di seguito viene descritto come ottenere e utilizzare i certificati dall’autorità di certificazione gratuita Let’s Encrypt.

Informazioni su Let’s Encrypt

Let’s Encrypt è un’autorità di certificazione libera, automatizzata e aperta, considerata affidabile da tutti i principali browser Web e sistemi operativi. Molti sponsor noti e di grandi dimensioni del settore IT supportano Let’s Encrypt per contribuire a rendere Internet un posto più sicuro.

Un processo di approvazione del certificato completamente automatizzato elimina la verifica via e-mail o telefono delle autorità di certificazione tradizionali che spesso richiedono giorni.

I certificati di Let’s Encrypt sono validi solo per 90 giorni e quindi vanno rinnovati regolarmente. Il servizio MailStore Server gestisce il rinnovo automatico del certificato al termine della configurazione iniziale.

Prerequisiti

Innanzi tutto deve esistere un record DNS e puntare al suo indirizzo IP pubblico (A o CNAME) per raggiungere il computer su cui è installato MailStore Server.

Il computer MailStore Server deve essere accessibile da Internet sulla porta TCP 80 (HTTP) per il processo di approvazione automatica del dominio Let’s Encrypt. Potrebbe essere necessario un port forwarding sul tuo firewall o gateway. Poiché Let’s Encrypt convalida da diversi indirizzi IP, la regola del firewall potenzialmente richiesta non può essere limitata a determinati indirizzi IP di origine.

Scenario 1: Server MailStore su LAN (Local Area Network)

Lo scenario più comune per un’installazione di MailStore Server è su una rete locale all’interno degli uffici aziendali. Generalmente il computer su cui è installato MailStore Server ha un indirizzo IP privato (ad esempio 192.168.0.10) e la connessione a Internet viene stabilita tramite un router, che maschera tutti gli indirizzi IP interni con il proprio indirizzo IP esterno assegnato dall’ISP (operazione nota come Network Address Translation (NAT).

Per questo scenario, supponiamo che MailStore Server sia in esecuzione su un computer dedicato.

  1. Va chiesto un indirizzo IP Internet pubblico statico al proprio provider di accesso da assegnare al router.
  2. Assegnare un indirizzo IP statico disponibile dalla rete locale al computer MailStore Server.
  3. Creare una regola di port forwarding sul router, che inoltra tutte le connessioni alla porta TCP 80 dell’indirizzo IP pubblico all’indirizzo IP locale del computer su cui è installato MailStore Server.
  4. Va aggiunto un record A o CNAME al DNS che gestisce il dominio pubblico, ad es. mailstore.example.com che punta all’indirizzo IP pubblico.
  5. A seconda di come viene gestita la risoluzione DNS nella rete locale, è necessario aggiungere anche un record DNS corrispondente sul proprio server DNS o router interno. Questo record dovrebbe puntare all’indirizzo IP interno del computer MailStore Server.

Scenario 2: Server MailStore su rete esterna

Se il computer MailStore Server è già su una rete che utilizzava un indirizzo IP pubblico, ad es. in un data center o in una DMZ è molto più semplice soddisfare i prerequisiti.

Per questo scenario, supponiamo che MailStore Server sia in esecuzione su un computer dedicato.

Assegnare un indirizzo IP pubblico disponibile dalla rete pubblica al computer MailStore Server.

Se è presente un firewall, creare una regola firewall che consenta il passaggio di tutte le connessioni alla porta TCP 80 sull’indirizzo IP pubblico.

Aggiungi un record A o CNAME alla zona DNS del tuo dominio pubblico, ad es. mailstore.example.com che punta all’indirizzo IP pubblico

Come ottenere il certificato

Aprire la configurazione del servizio server MailStore.

Seleziona Impostazioni di rete

Nella sezione certificato, fare clic sui puntini di sospensione accanto al certificato

Seleziona Richiedi da Let’s Encrypt …

Verranno elencati i prerequisiti.

  • Fai clic su Avanti per procedere.

  • Inserisci il tuo indirizzo e-mail e il nome del server nei campi corrispondenti
  • Fare clic sul collegamento per aprire il Contratto di abbonamento Let’s Encrypt.
  • Dopo aver letto e compreso il Contratto di abbonamento Let’s Encrypt, seleziona la casella Accetto il Contratto di abbonamento Let’s Encrypt
  • Fare clic su Avanti per continuare.
  • MailStore ora verificherà le impostazioni nell’ambiente di valutazione di Let’s Encrypt. Se si verifica un problema, MailStore mostrerà un avviso. Esaminare l’output del registro, risolvere il problema e riprovare.
  • Se il test ha avuto esito positivo, MailStore richiederà automaticamente un certificato dal sistema di produzione Let’s Encrypt e confermerà che l’installazione ha avuto esito positivo.
  • Cliccare su Fine.
  • Il rinnovo automatico dei certificati Let’s Encrypt sarà attivato ogni 60 giorni, a condizione che nessun altro certificato sia stato selezionato manualmente.

Comments are closed.