====== Zertifikate mit certbot ======

Erstmal certbot installieren

<code>apt install certbot</code>

Dann Zertifikat installieren, in iRedMail passt schon alles für Webroot, dann muss man nicht als standalone arbeiten, und den nginx runterfahren.

<code>certbot certonly --webroot --agree-tos --email you@example.com -d mail.your-domain.com -w /var/www/html/</code>

Dann noch in /etc/nginx/templates/ssl.tmpl die neuen Zertifikate von Letsencrypt eintragen:

<code>
ssl_certificate /etc/letsencrypt/live/mail.your-domain.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/mail.your-domain.com/privkey.pem;
</code>

nginx neu laden mit:

<code>systemctl reload nginx</code>

Dann müssen die Zertifikate natürlich noch bei Postfix und Dovecot bekannt gemacht werden. Ehrlich gesagt verstehe ich nicht, warum iRedMail, die ja wirklich alles so geil automatisieren das nicht auch gleich mitmachen. Aber eventuell kommt das ja noch.
Wir suchen in der /etc/postfix/main.cf die Zertifikate, löschen die self signed raus und tragen dafür unsere ein.

<code>
smtpd_tls_key_file = /etc/letsencrypt/live/mail.your-domain.com/privkey.pem
smtpd_tls_cert_file = /etc/letsencrypt/live/mail.your-domain.com/cert.pem
smtpd_tls_CAfile = /etc/letsencrypt/live/mail.your-domain.com/chain.pem
</code>

Dann geht es weiter in die Datei /etc/dovecot/dovecot.conf. Dort auch wieder die SSL Eintragungen finden und ersetzen durch:

<code>
ssl_cert = </etc/letsencrypt/live/mail.your-domain.com/fullchain.pem
ssl_key = </etc/letsencrypt/live/mail.your-domain.com/privkey.pem
</code>

Jetzt noch beide neustarten.

<code>
systemctl reload postfix && systemctl reload dovecot 
</code>