From 9cfaa28f6a4e878927b328889771bdbf2d771089 Mon Sep 17 00:00:00 2001
From: benoit <gitit@benpro.fr>
Date: Sun, 5 Mar 2017 21:40:24 +0100
Subject: [PATCH] sections

---
 HowtoSecureMailServer.page | 8 +++++---
 1 file changed, 5 insertions(+), 3 deletions(-)

diff --git a/HowtoSecureMailServer.page b/HowtoSecureMailServer.page
index b2f4b3f..216b3d5 100644
--- a/HowtoSecureMailServer.page
+++ b/HowtoSecureMailServer.page
@@ -123,6 +123,8 @@ L'idée est de restreindre l'accès aux services web (webmail et admin), et mail
 
 Pour cela il faut mettre en place une `PKI` et émettre un certificat client. J'utilise l'outil [shellPKI](https://wiki.evolix.org/HowtoOpenVPN#mise-en-place-dune-pki-avec-shellpki-openbsd-et-debian) pour ça.
 
+## ShellPKI
+
 ```
 # cd /usr/local
 # git clone https://forge.evolix.org/shellpki.git
@@ -150,14 +152,14 @@ Puis on le converti au format `PKCS#12` avec une passphrase d'export. Cette pass
 
 ```
 # cd /etc/ssl/clients
-# openssl pkcs12 -export -in benoit.mail.benpro.fr.crt -inkey benoit.mail.benpro.fr.key -out benoit.mail.benpro.fr.p12
+# openssl pkcs12 -export -in user@mail.domain.tld.crt -inkey user@mail.domain.tld.key -out user@mail.domain.tld.p12
 ```
 
 Il faudra importer ce certificat client dans les navigateurs et dans diverses applications (Thunderbird, Exchange/GMail sous Android, K9-Mail, …).
 
 La dernière étape consiste à dire à dovecot et nginx qu'il est nécessaire de présenter un certificat client.
 
-Pour nginx :
+## Nginx
 
 ```
 ssl_client_certificate /etc/shellpki/ca/cacert.pem;
@@ -168,7 +170,7 @@ ssl_verify_client on;
 # systemctl restart nginx
 ```
 
-Pour dovecot :
+## Dovecot
 
 > **Note** : Attention, si vous avez un webmail qui se connecte en local, imap non chiffré, l'activation de `auth_ssl_require_client_cert`, va imposer d'utiliser un certificat… Cassant votre webmail. Il n'y a pas à ce jour la possibilité d'activer `auth_ssl_require_client_cert` seulement pour imaps… Si vous utilisez un webmail, n'activez pas ceci sur dovecot.