SSL Verbindungen - Zertifizierungsstelle - ???

Dieses Thema im Forum "Installation und Konfiguration" wurde erstellt von Sigix, 20. Okt. 2011.

  1. Sigix

    Sigix Member

    Hallo,

    ich habe folgendes Problem:

    Habe einen Debian Server mit ISPConfig
    (Debian 6.0.3 / ISPConfig 3.0.3.3)

    darauf können sich Kunden via SSL (IMAP oder POP3) verbinden!

    jedesmal wenn man den Mailclient schließt und wieder öffnet kommt die Meldung dass das Zertifikat nicht überprüft werden kann bzw es nicht als vertrauenwürdig gilt.

    Jetzt habe ich hier eine Anleitung gefunden sich selbst eine Zertifizierungsstelle zu erstellen!

    Dazu hätte ich 3 Fragen:
    -) Kann man die Zertifizierungsstelle auf den gleichen Server wie ISPConfig installieren oder soll es ein anderer sein?
    -) Muss die Zertifizierungsstelle für den ISPConfig-Server erreichbar sein (sprich: wenn ich das zertifikat erstellt habe, würde ich gerne den Zertifizierungsserver wieder abdrehen)?
    -) gibt es eine alternative (ohne jetzt ein Kostenpflichtiges Zertifikat zu erwerben)?

    mfg
    SiGiX
     
  2. Till

    Till Administrator

    Zur Lösung des Problems musst Du das Zertifikat nur einmalig in Deinem mailclient importieren. Eine neue zertifizierungsstelle brauchst Du dafür nicht, denn das Zertifikat ist ja jetzt bereits von Deiner eigenen zertifizierungsstelle, Du hast deinem Mailclient nur noch nicht bestätigt, dass Zertifikate dieser stelle ion Ordnung sind.
     
  3. Sigix

    Sigix Member

    Hallo Till,

    danke das hat funktioniert,.... jedoch bin ich jetzt auf ein weiteres Problem gestoßen:

    POP3 & IMAP verwenden die Zertifikate von /etc/courier/....

    Wo nimmt der SMTP das Zertifikat her???
    Wie kann ich das SMTP-Zertikat erneuern?

    Mein derzeitiges SMTP Zertifikat hat einen Fehler (Falsche CN)
     
  4. Till

    Till Administrator

    Schau mal in die postfix main.cf Datei, da steht drin wo die Zertifikatsdateien auf Deinem Server liegen. Beispiel:

    smtpd_tls_cert_file = /etc/postfix/smtpd.cert
    smtpd_tls_key_file = /etc/postfix/smtpd.key
     
  5. Sigix

    Sigix Member

    Okay die Zertifikate sind da,.....

    SOll ich smtp.cert & smtpd.key löschen und mit folgendem Befehl neu generieren?

    openssl genrsa -des3 -rand /etc/hosts -out smtpd.key 1024
    chmod 600 smtpd.key
    openssl req -new -key smtpd.key -out smtpd.csr
    openssl x509 -req -days 3650 -in smtpd.csr -signkey smtpd.key -out smtpd.crt
    openssl rsa -in smtpd.key -out smtpd.key.unencrypted
    mv -f smtpd.key.unencrypted smtpd.key
    openssl req -new -x509 -extensions v3_ca -keyout cakey.pem -out cacert.pem -days 3650

    anschließend

    openssl pkcs12 -export -in smtpd.crt -inkey smtpd.key -out OutlookSMTP.p12

    sind meine Ansätze korrekt oder liege ich falsch?

    Wie gesagt ich will das SMTP Zertifikat neu erstellen!
     
  6. Till

    Till Administrator

    Du hast doch gesagt, dass Du schon korrekte Zertifikate für dovecot hast? Ich würde es mir daher einfacher machen: ändere doch den Pfad in der postfix main.cf, so dass er auf die bereits existierenden Zertifikate von dovecot zeigt und starte postfix neu.
     
  7. Sigix

    Sigix Member

    Vielleicht habe ich jetzt was falsch verstanden,...

    ich habe das pop3 & imap zertifikat mit den Befehlen mkimapdcert
    mkpop3dcert erstellt --> diese funktionieren!

    Und wenn ich das jetzt richtig verstanden habe, soll ich folgendes ändern:
    derzeit: smtp_tls_cert_file = /etc/postfix/smtp.cert
    neu: smtp_tls_cert_file = /etc/ssl/private/dovecot.pem

    Oder lieg ich da falsch?
     
  8. Till

    Till Administrator

    Sollte an sich gehen. Und die key Datei nicht vergessen.
     
  9. Sigix

    Sigix Member

    Wenn man anstatt dovecot - courier installiert hat,.....funktioniert das auch????
     
  10. Till

    Till Administrator

    Versuch es doch einfach mal :)
     
  11. Sigix

    Sigix Member

    Hat funktioniert! :)

    danke für deine Hilfe!
     
  12. nowayback

    nowayback Well-Known Member

    Moinsen,

    auch wenn dein Problem gelöst ist, hier noch ein Hinweis: Bei Startssl (StartSSL) kannst du kostenlos Zertifikate beantragen für deine Domains. Diese müssen dann auch nicht erst im Firefox oder Mailclient eingetragen werden, da die meisten Startssl bereits kennen und von denen ausgestellte Zertifikate akzeptieren. Somit müssen auch deine Kunden keine Zertifikate importieren und es erscheint keine Warnung im Browser beim Aufruf einer SSL Seite, dass das Zertifikat von einer nicht vertrauenswürdigen Seite erstellt wurde.

    Also jede Menge Vorteile ohne Kosten ;-)

    Grüße
    nwb
     
  13. csiebert

    csiebert Member

    ja, das klappt
     

Diese Seite empfehlen