Bonjour, Le 06/12/2017 à 17:04, Julien Escario a écrit : > Bonjour la liste, > Nous sommes en train de 'rêver' à un joli reverse proxy pour les connexions > IMAP, POP (hum) et SMTP avec du ssl offloading et toussa. > > L'idéal serait que l'on puisse écouter sur (par exemple), le port 993 pour > imap.domaine1.com, imap.domaine2.com, etc ... > Le tout en présentant un certificat valide pour chaque domaine et ça, > s'appelle > SNI (RFC 6066 section 3). C'est une extension TLS donc indépendant du > protocole. > > Je prends les devants : nous ne souhaitons pas avec un gros certificat qui > comprenne tous les vhosts. > > SNI donc, on le fait déjà massivement en HTTP over SSL (aka HTTPS), tous les > browser modernes le supportent. > > Le soucis c'est déjà que l'on s'y est pris avec Nginx et ca semble pas > vraiment > supporté : impossible de déclarer deux vhosts qui écoutent sur le port 993, ca > gère un conflit : > nginx: [emerg] duplicate "993" address and port pair > > Nginx tout frais : nginx version: nginx/1.13.6 > > Aucune doc là dessus chez Nginx, du coup la question : est-ce que quelqu'un a > une trace d'un tel hack avec Nginx ? Quitte à regarder du côté d'un module > 'custom' qu'on veut bien compiler, tester de debugger. > > Sinon, Haproxy semble le faire et on investira le temps nécessaire à > l'apprentissage.
Ça marche sur le port 443 mais pas sur le 993, c’est ça que tu nous dis ?
Mes vhosts ce sont des directives serveurs comme ça :
server {
listen 443 ssl http2 <servername>;
listen [::]:443 ssl http2 <servername>;
ssl_certificate /path/to/<servername>.crt;
ssl_certificate_key /path/to/<servername>.key;
}
J’aurais tendance à dire que la même chose avec 993 et pas en HTTP ça
devrait fonctionner, mais j’ai jamais testé donc bon…
Vous voulez forcément mettre un reverse proxy devant ? Ça va pas si le
serveur SMTP/IMAP le gère directement ?
Parce que…
> Mais, question subsidiaire : je ne trouve aucune liste du support SNI par les
> clients IMAP ou SMTP ? C'est si exotique ce que l'on veut faire ?
> OK, il y a : https://wiki.dovecot.org/SSL/SNIClientSupport pour avoir une idée
> du support en IMAP.
>
> Est-ce que quelqu'un s'est déjà lancé dans ça ? Avec du succès ou pas ?
… heureusement que ça fonctionne, oui ! Je fais du SNI avec Dovecot pour
l’IMAP en effet, et avec OpenSMTPd pour le SMTP. Ça roule tout seul. :)
Mes utilisateurs (dont moi) ont des clients principalement K-9 Mail et
Thunderbird, mais il y a aussi du « Client Android par défaut » et du
Apple Mail.
Bruno
signature.asc
Description: OpenPGP digital signature
_______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
