Dovecot 用 Let’s Encrypt 設定 POP3/IMAP TLS 加密

以下是在 Dovecot 設定使用 Let’s Encrypt, 替 POP3 及 IMAP 加密的步驟。

如果安裝 Dovecot 的系統已經安裝了 HTTPD Server, 執行以下指令:

上面的 /var/www/html 要改成 httpd server 的網頁目錄,而 mail.mydomain.com 則要改成主機名稱,如果要加入多個主機名,在後面加入 -d domain 即可。

如果沒有安裝 httpd server, 可以用 certbot 提供的 standalone 選項:

執行上面指令後,SSL 憑證便會儲存在 /etc/letsencrypt/live/mail.mydomain.com/ 目錄下,開啟 Dovecot 的 ssl 設定檔 /etc/dovecot/conf.d/10-ssl.conf:

# vi /etc/dovecot/conf.d/10-ssl.conf

將 ssl_cert 及 ssl_key 設定成剛剛取得的憑證,注意路徑前面加入入 “ # systemctl restart dovecot

最後設定自動 renew SSL 憑證


Let’s Encrypt 憑證目前的有效期只有 3 個月,在憑證到期前 1 個月可以 renew以下設定自動 renew 憑證,以下是更新憑證的指令:

以上指令會自動更新所有 SSL 憑證,如果成功更新,會執行 “systemctl restart dovecot” 這條指令,讓 Dovecot 重新載入新憑證。

為了日後方便管理,建立一個 renew SSL 的 Shell Script:

# vi /root/renew.sh

加入以下內容:

然後把上面 Shell Script 加入可執行權限及放到 crontab:

# chmod +x /root/renew.sh

加入 crontab

# crontab -e

加入以下一行:

這樣 certbot 便會在每天凌晨 3:00 自動檢查及更新憑證。


Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.