SSL Verbindungen - Zertifizierungsstelle - ???

[Sigix]

Hallo,

ich habe folgendes Problem:

Habe einen Debian Server mit ISPConfig
(Debian 6.0.3 / ISPConfig 3.0.3.3)

darauf können sich Kunden via SSL (IMAP oder POP3) verbinden!

jedesmal wenn man den Mailclient schließt und wieder öffnet kommt die Meldung dass das Zertifikat nicht überprüft werden kann bzw es nicht als vertrauenwürdig gilt.

Jetzt habe ich hier eine Anleitung gefunden sich selbst eine Zertifizierungsstelle zu erstellen!

Dazu hätte ich 3 Fragen:
-) Kann man die Zertifizierungsstelle auf den gleichen Server wie ISPConfig installieren oder soll es ein anderer sein?
-) Muss die Zertifizierungsstelle für den ISPConfig-Server erreichbar sein (sprich: wenn ich das zertifikat erstellt habe, würde ich gerne den Zertifizierungsserver wieder abdrehen)?
-) gibt es eine alternative (ohne jetzt ein Kostenpflichtiges Zertifikat zu erwerben)?

mfg
SiGiX

 

[Till]

Zur Lösung des Problems musst Du das Zertifikat nur einmalig in Deinem mailclient importieren. Eine neue zertifizierungsstelle brauchst Du dafür nicht, denn das Zertifikat ist ja jetzt bereits von Deiner eigenen zertifizierungsstelle, Du hast deinem Mailclient nur noch nicht bestätigt, dass Zertifikate dieser stelle ion Ordnung sind.

 

[Sigix]

Zur Lösung des Problems musst Du das Zertifikat nur einmalig in Deinem mailclient importieren. Eine neue zertifizierungsstelle brauchst Du dafür nicht, denn das Zertifikat ist ja jetzt bereits von Deiner eigenen zertifizierungsstelle, Du hast deinem Mailclient nur noch nicht bestätigt, dass Zertifikate dieser stelle ion Ordnung sind.

Hallo Till,

danke das hat funktioniert,.... jedoch bin ich jetzt auf ein weiteres Problem gestoßen:

POP3 & IMAP verwenden die Zertifikate von /etc/courier/....

Wo nimmt der SMTP das Zertifikat her???
Wie kann ich das SMTP-Zertikat erneuern?

Mein derzeitiges SMTP Zertifikat hat einen Fehler (Falsche CN)

 

[Till]

Schau mal in die postfix main.cf Datei, da steht drin wo die Zertifikatsdateien auf Deinem Server liegen. Beispiel:

smtpd_tls_cert_file = /etc/postfix/smtpd.cert
smtpd_tls_key_file = /etc/postfix/smtpd.key

 

[Sigix]

Schau mal in die postfix main.cf Datei, da steht drin wo die Zertifikatsdateien auf Deinem Server liegen. Beispiel:

smtpd_tls_cert_file = /etc/postfix/smtpd.cert
smtpd_tls_key_file = /etc/postfix/smtpd.key

Okay die Zertifikate sind da,.....

SOll ich smtp.cert & smtpd.key löschen und mit folgendem Befehl neu generieren?

openssl genrsa -des3 -rand /etc/hosts -out smtpd.key 1024
chmod 600 smtpd.key
openssl req -new -key smtpd.key -out smtpd.csr
openssl x509 -req -days 3650 -in smtpd.csr -signkey smtpd.key -out smtpd.crt
openssl rsa -in smtpd.key -out smtpd.key.unencrypted
mv -f smtpd.key.unencrypted smtpd.key
openssl req -new -x509 -extensions v3_ca -keyout cakey.pem -out cacert.pem -days 3650

anschließend

openssl pkcs12 -export -in smtpd.crt -inkey smtpd.key -out OutlookSMTP.p12

sind meine Ansätze korrekt oder liege ich falsch?

Wie gesagt ich will das SMTP Zertifikat neu erstellen!

 

[Till]

Du hast doch gesagt, dass Du schon korrekte Zertifikate für dovecot hast? Ich würde es mir daher einfacher machen: ändere doch den Pfad in der postfix main.cf, so dass er auf die bereits existierenden Zertifikate von dovecot zeigt und starte postfix neu.

 

[Sigix]

Du hast doch gesagt, dass Du schon korrekte Zertifikate für dovecot hast? Ich würde es mir daher einfacher machen: ändere doch den Pfad in der postfix main.cf, so dass er auf die bereits existierenden Zertifikate von dovecot zeigt und starte postfix neu.

Vielleicht habe ich jetzt was falsch verstanden,...

ich habe das pop3 & imap zertifikat mit den Befehlen mkimapdcert
mkpop3dcert erstellt --> diese funktionieren!

Und wenn ich das jetzt richtig verstanden habe, soll ich folgendes ändern:
derzeit: smtp_tls_cert_file = /etc/postfix/smtp.cert
neu: smtp_tls_cert_file = /etc/ssl/private/dovecot.pem

Oder lieg ich da falsch?

 

[Till]

Sollte an sich gehen. Und die key Datei nicht vergessen.

 

[Sigix]

Sollte an sich gehen. Und die key Datei nicht vergessen.

Wenn man anstatt dovecot - courier installiert hat,.....funktioniert das auch????

 

[Till]

Versuch es doch einfach mal

 

[Sigix]

Versuch es doch einfach mal

Hat funktioniert!

danke für deine Hilfe!

 

[nowayback]

Moinsen,

auch wenn dein Problem gelöst ist, hier noch ein Hinweis: Bei Startssl (StartSSL) kannst du kostenlos Zertifikate beantragen für deine Domains. Diese müssen dann auch nicht erst im Firefox oder Mailclient eingetragen werden, da die meisten Startssl bereits kennen und von denen ausgestellte Zertifikate akzeptieren. Somit müssen auch deine Kunden keine Zertifikate importieren und es erscheint keine Warnung im Browser beim Aufruf einer SSL Seite, dass das Zertifikat von einer nicht vertrauenswürdigen Seite erstellt wurde.

Also jede Menge Vorteile ohne Kosten ;-)

Grüße
nwb

 

[csiebert]

Wenn man anstatt dovecot - courier installiert hat,.....funktioniert das auch????

ja, das klappt