L’évolution d’internet fait qu’il est aujourd’hui quasi obligatoire de sécuriser ses connexions. Pour chiffrer les connexions et s’assurer que les interlocuteurs sont ceux qu’ils prétendent être, l’outil indispensable est le certificat.
Let’s Encrypt permet de disposer d’un certificat gratuit et reconnu par les navigateurs. L’intérêt principal de Let’s Encrypt (dans l’esprit DevOps) est de simplifier l’utilisation et donc d’automatiser le processus de gestion des certificats parfois complexe.
Dans BlueMind, à partir de la version 4.7, l’ensemble est automatique et supporté nativement : la création, l’installation et surtout le renouvellement du certificat. Une fois mis en place, on peut oublier la gestion du certificat et laisser BlueMind se débrouiller tout seul.
En cas de problème lors du renouvellement du certificat, une alerte sera envoyée par mail à l’adresse de contact renseignée lors de l’activation de Let’s Encrypt, quotidiennement durant les 5 derniers jours avant l’expiration. Les certificats sont disponibles sur l’ensemble des serveur de l’installation BM.
Pour sécuriser votre messagerie BlueMind dans une version antérieure à 4.7, rendez-vous ici.
Let’s Encrypt et URL par domaine
Les URL par domaine permettent de gérer simplement plusieurs clients ou domaines sur une même installation de BlueMind en proposant une URL de connexion spécifique à chaque client. Cela présente plusieurs intérêts pour les plate-formes mutualisées:
- L’hébergeur n’a qu’une seule installation BlueMind à maintenir,
- Chaque client peut avoir sa propre URL de connexion,
- Tout est automatique, quelle que soit l’architecture du BlueMind (présence d’un edge ou non…). Il faut simplement que les DNS soient à jour.
Utilisation
BlueMind dispose toujours d’une URL d’accès globale, visible dans la configuration du système de la console d’administration. Vous trouverez des informations complémentaires dans notre documentation technique section 1.1 de la configuration des URL externes.
Il est possible d’associer un certificat à cette URL depuis la section « Modifier le certificat » de la console d’administration – section 4.1 et 4.2 de cette page consacrée au certificats pour la version 4 de BlueMind.
Il est maintenant possible de définir une URL externe pour chaque domaine (section 2 de la configuration des URL externes). Si une URL spécifique est indiquée pour un domaine, il est possible d’associer à ce domaine un certificat dédié (section 4.3)
Si une URL spécifique est indiquée pour un domaine, mais qu’aucun certificat dédié n’est mis en place, c’est le certificat global qui est utilisé.
Dans les écrans de gestion du certificat (global ou par domaine), il est possible de fournir un certificat sous forme de fichier, ou d’en obtenir un automatiquement via Let’s Encrypt.
Il est cependant nécessaire que le serveur sur lequel tourne le service bm-core puisse accèder à l’URL Let’s Encrypt https://letsencrypt.org
Limites et règles
- HTTPS : le certificat par domaine est utilisé uniquement pour les accès HTTPs (web, API, MAPI…)
- Au niveau IMAP/SMTP, c’est toujours le certificat global qui est utilisé.
- à partir de BlueMind 4.8, il est possible de renseigner des noms DNS supplémentaires. Let’s Encrypt génère un certificat pour l’ensemble de ces noms. Il est ainsi possible de définir les noms nécessaire pour l’auto-configuration MAPI par exemple.
Pour toute information complémentaire sur la sécurisation de votre BlueMind et les certificats, n’hésitez pas à contacter notre équipe.