Traduzione a cura di Naonis dell’articolo apparso nel sito del produttore al seguente link:
https://help.mailstore.com/en/server/Using_Lets_Encrypt_Certificates
Contenuti
Introduzione
Per garantire autenticità e sicurezza, MailStore Server utilizza i certificati TLS in tutti i servizi attivabili. Durante l’installazione MailStore Server consente di scegliere tra :
La scelta predefinita di creare un certificato autofirmato viene spesso utilizzata quando si installa MailStore Server per la prima volta, poiché non viene fornita alcuna dipendenza esterna da risolvere. Sebbene ciò vada perfettamente bene in un’installazione non in produzione, non è la scelta raccomandata per l’uso in produzione, poiché i certificati autofirmati non sono considerati attendibili dai browser dei computer client, poiché non sono stati firmati da un’autorità di certificazione attendibile e l’utilizzatore potrebbe abituarsi a ignorare gli avvisi sui certificati, facilitando quindi attacchi di tipo “man in the middle”.
Il seguente messaggio di avviso (o similare) viene visualizzato da un browser quando si apre MailStore Web Access avendo utilizzato un certificato autofirmato.
Per eliminare questi avvisi e aumentare la sicurezza nelle trasmissioni dei dati cambiati, MailStore va configurato per utilizzare un certificato rilasciato da un’autorità di certificazione attendibile.
Di seguito viene descritto come ottenere e utilizzare i certificati dall’autorità di certificazione gratuita Let’s Encrypt.
Informazioni su Let’s Encrypt
Let’s Encrypt è un’autorità di certificazione libera, automatizzata e aperta, considerata affidabile da tutti i principali browser Web e sistemi operativi. Molti sponsor noti e di grandi dimensioni del settore IT supportano Let’s Encrypt per contribuire a rendere Internet un posto più sicuro.
Un processo di approvazione del certificato completamente automatizzato elimina la verifica via e-mail o telefono delle autorità di certificazione tradizionali che spesso richiedono giorni.
I certificati di Let’s Encrypt sono validi solo per 90 giorni e quindi vanno rinnovati regolarmente. Il servizio MailStore Server gestisce il rinnovo automatico del certificato al termine della configurazione iniziale.
Prerequisiti
Innanzi tutto deve esistere un record DNS e puntare al suo indirizzo IP pubblico (A o CNAME) per raggiungere il computer su cui è installato MailStore Server.
Il computer MailStore Server deve essere accessibile da Internet sulla porta TCP 80 (HTTP) per il processo di approvazione automatica del dominio Let’s Encrypt. Potrebbe essere necessario un port forwarding sul tuo firewall o gateway. Poiché Let’s Encrypt convalida da diversi indirizzi IP, la regola del firewall potenzialmente richiesta non può essere limitata a determinati indirizzi IP di origine.
Scenario 1: Server MailStore su LAN (Local Area Network)
Lo scenario più comune per un’installazione di MailStore Server è su una rete locale all’interno degli uffici aziendali. Generalmente il computer su cui è installato MailStore Server ha un indirizzo IP privato (ad esempio 192.168.0.10) e la connessione a Internet viene stabilita tramite un router, che maschera tutti gli indirizzi IP interni con il proprio indirizzo IP esterno assegnato dall’ISP (operazione nota come Network Address Translation (NAT).
Per questo scenario, supponiamo che MailStore Server sia in esecuzione su un computer dedicato.
Scenario 2: Server MailStore su rete esterna
Se il computer MailStore Server è già su una rete che utilizzava un indirizzo IP pubblico, ad es. in un data center o in una DMZ è molto più semplice soddisfare i prerequisiti.
Per questo scenario, supponiamo che MailStore Server sia in esecuzione su un computer dedicato.
Assegnare un indirizzo IP pubblico disponibile dalla rete pubblica al computer MailStore Server.
Se è presente un firewall, creare una regola firewall che consenta il passaggio di tutte le connessioni alla porta TCP 80 sull’indirizzo IP pubblico.
Aggiungi un record A o CNAME alla zona DNS del tuo dominio pubblico, ad es. mailstore.example.com che punta all’indirizzo IP pubblico
Come ottenere il certificato
Aprire la configurazione del servizio server MailStore.
Seleziona Impostazioni di rete
Nella sezione certificato, fare clic sui puntini di sospensione accanto al certificato
Seleziona Richiedi da Let’s Encrypt …
Verranno elencati i prerequisiti.