Compatibilité SNI ou problème de conf?

Bonjour,

Dans l’onglet “Sécurité” des domaines, j’utilise Let’s Encrypt pour générer les certificats. Ces derniers sont bien générés, les certificats sont bien à jour dans /etc/bm/certs/.
Néanmoins ils ne semblent pas être pris en compte. Lors d’une connexion avec openssl sur les ports 993 ou 465, c’est toujours le common name du certificat principal qui ressort (celui du domaine principal utilisé pour l’installation). Cela a pour effet de provoquer des messages d’erreur sur les clients de messagerie.

Pour le port 465, dans la configuration postfix par défaut, la configuration SSL pointe sur /etc/ssl/certs/bm_cert.pem qui est le certificat du domaine principal.

Idem pour le port 993, dans la configuration Nginx par défaut celui-ci pointe aussi sur le certificat du domaine principal.

Avant de me lancer dans une conf SNI pour nginx et postfix auriez-vous une autre piste ?

Version BM: 5.1.7

Merci !

Nous ne supportons pas le SNI sur les protocoles SMTP/IMAP/POP.

Avec Let’s Encrypt, nous vous conseillons plutôt d’utiliser l’URL globale pour configurer vos clients lourds, ou un nom dédié - imap.domain.tld par exemple - et de renseigner ces noms complémentaires dans le champs des URLs additionnelles lors de la génération du cerficat global.

Bonjour,

Merci pour votre retour.
J’utilise bluemind 5.1.7, je ne vois pas d’URLs additionnelles dans la génération du certificat. Je crois que ça a été intégré en 5.2 ?

Quoi qu’il en soit, j’ai contourné le problème en intégrant le SNI sur un haproxy qui relaye ensuite au nginx. Pour le SMTP, la configuration postfix se modifie très simplement.

Cdt,
Jean-Claude