Erstmal certbot installieren

apt install certbot

Dann Zertifikat installieren, in iRedMail passt schon alles für Webroot, dann muss man nicht als standalone arbeiten, und den nginx runterfahren.

certbot certonly --webroot --agree-tos --email you@example.com -d mail.your-domain.com -w /var/www/html/

Dann noch in /etc/nginx/templates/ssl.tmpl die neuen Zertifikate von Letsencrypt eintragen:

ssl_certificate /etc/letsencrypt/live/mail.your-domain.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/mail.your-domain.com/privkey.pem;

nginx neu laden mit:

systemctl reload nginx

Dann müssen die Zertifikate natürlich noch bei Postfix und Dovecot bekannt gemacht werden. Ehrlich gesagt verstehe ich nicht, warum iRedMail, die ja wirklich alles so geil automatisieren das nicht auch gleich mitmachen. Aber eventuell kommt das ja noch. Wir suchen in der /etc/postfix/main.cf die Zertifikate, löschen die self signed raus und tragen dafür unsere ein.

smtpd_tls_key_file = /etc/letsencrypt/live/mail.your-domain.com/privkey.pem
smtpd_tls_cert_file = /etc/letsencrypt/live/mail.your-domain.com/cert.pem
smtpd_tls_CAfile = /etc/letsencrypt/live/mail.your-domain.com/chain.pem

Dann geht es weiter in die Datei /etc/dovecot/dovecot.conf. Dort auch wieder die SSL Eintragungen finden und ersetzen durch:

ssl_cert = </etc/letsencrypt/live/mail.your-domain.com/fullchain.pem
ssl_key = </etc/letsencrypt/live/mail.your-domain.com/privkey.pem

Jetzt noch beide neustarten.

systemctl reload postfix && systemctl reload dovecot