Instalar SSL para el mail en Plesk
Dic 6, 2008 by admin
Todo esto viene de querer hacer que cuando nos conectamos con un lciente de mail (outlook, thunderbird, …) la conexón se haga mediante ssl y estemos en plesk.
Lo remarco en negrita porque sino estuvieramos en plesk no hubiese tenido problemas de “conceptos”
En Plesk tienes una opcion de añadir certificados a los dominios que tienes. De una manera sencilla y muy muy transparente, PERO, añades certificados a los dominios (o subdominios). Lo que yo queria es que cuando me conectara con el thunderbird a mi servidor de correo la conexion fuera ssl, y ademas no apareciera el molesto mensaje de que si acptaba el certificado.
Si el certificado es autofirmado tienes que decirle una vez que si, y que memorize la accion, asi no tiene que molestar cada vez. Si el certificado lo ha firmado verisign, comodo, etc etc entonces no hace falta nada de esto, te lo acepta automaticamente porque es una CA autorizada.
El problema es el planteamiento. Mi servidor de mail se llama mail.dominio.es, por tanto diriamos que es un “subdominio” de dominio.com.
Cuando solicite el certificado a comodo lo hice para dominio.com, y como no se integran los subdominios en los certificados, mail.dominio.com no era “acpetado” dentro del certificado, y siempre me salia la advertencia, y aunque le dijera que confiara, siempre me lo preguntaba.
Me di cuenta de que el certificado que me salia era de courier-imap. Un certificado que se debe instalar cuando instalas el courier y supongo que lo pondran para poder tener conexion ssl sin necesidad de que tu crees ningun certificados, ni te metas en esos “marrones” 
.
Para poder cambiar el certificado default de courier te tienes que conectar a la consola del servidor (en este caso el mio es CentOs) y proceder asi:
-en la carpeta /usr/share/courier-imap/ tenemos imapd.pem y pop3d.pem.
estos son los certificados default
-substituimos imapd.pem por nuestro certificado (autofirmado o firmado por una CA) de la siguiente forma:
-en un mismo archivo primero ponemos el certificado nuestro y luego la clave RSA. Quedaria tal que asi:
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
-----BEGIN RSA PRIVATE KEY-----
...
-----END RSA PRIVATE KEY-----
-luego le damos persimos 600 a imapd.pem y listos
metodo extraido de esta web
Ahora mismo lo que nos saldra cuando nos conectemos con thunderbird al servidor es nuestro certificado. Que en el caso de ser autofirmado, podemos crear el archivo crt de nuestra CA y añadirlo a los certificados de confianza de thunderbird para que no nos “moleste” con su advertencia.
Depues de analizar lo que he tenido que hacer, he pensado que puede que se pueda hacer desde el panel del plesk, evitandonos entrar en consola, pero no lo he comprobado.
La manera seria la siguiente:
Partiendo de la base de que un certificado solo puede ser de un dominio o subdominio, sin englobar a los demas, nosotros creamos un subdominio en plesk llamado mail.dominio.com.
Pedimos un certificado (o lo autofirmamos) y se lo añadimos a este subdominio, mail.dominio.com
Cuando nos conectemos con el cliente web deberia salir el certificado del subdominio, que en este caso el subdominio es igual al nombre del servidor de correo.
Lo que no se es si se puede hacer (a nivel de dns) llamarle igual a la entrada MX que a un subdominio.
Es algo que deberia probar 
———————————————————————————–
EDITO:
Acabo de instalar un certificado para webmail.dominio.com y en cuanto me he conectado por el firefox me ha autorizado el certificado (porque era firmado por una CA autorizada) y todo perfecto.
webmail.dominio.com no es un subdominio. Almenos lo que se es que en mis entradas de la DNS tengo una llamada webmail.dominio.com apuntando hacia la ip de mi servidor.
Con esto puedo suponer que lo que he dicho arriba puede ser viable, el unico problema que tengo ahora, es que el certificado lo he instalado en el dominio dominio.com y es para webmail.dominio.com. Esto quiere decir que si accedo por http a dominio.com el certificado no me servirá.
Supongo que para poder tener un certificado para cada servicio (webmail, ftp, mail, http, … ) tengo dos opciones:
1.-ir buscando los programas que me dan estos servicios (courier, proftp, apache, … ) y configurarles manualmente un certificado para cada uno
2.-el metodo de crear subdominios desde plesk, para que asi todo se haga desde plesk y no tenga que conectarme por conola y “trastear” el servidor
Lo que aun no tengo claro es que diferencia hay entre un subdominio creado desde plesk y una entrada en las dns del tipo web.dominio.com apuntando a la ip de mi servidor.
Para ilustrar estoq ue no tengo claro, hay un ejemplo real que sera facil de entender.
Tenemos un servicio en 1&1 de hosting, que te da un dominio y 1000 subdominios. Pero que al no haber contratado un vps o servidor, no tengo un servidor dns propio, sino el de 1&1.
En este caso si quiero tener un ftp, creo un subdominio llamado ftp.dominio.com que apunta hacia una carpeta del hosting, o hacia otro ordenador de la red.
El otro caso es que yo tengo un vps, con su servidor dns. Creo la entrada ftp.dominio.com apuntando a la ip de mi servidor, o a otro ordenador de la red.
En los dos casos cuando en un navegador o programa ftp ponga ftp.dominio.com me conectare a ese ftp.
El primer caso lo he hecho con subdominios y el segundo con entradas de dns, por tanto:
que diferencia hay entre un SUBDOMINIO y una ENTRADA DNS?