SSL-Zertifikat für den Betrieb eines Mailservers
Ziel
Erzeugen eines SSL-Server Zertifikats.
Ausgangssystem
- Server mit Ubuntu 14.0.3 LTS
- Administration: Plesk 12.5
Hintergrund
Insbesondere Mailserver werden mit einem SSL-Zertifikat ausgestattet, welches eine Gültigkeitsdauer von einem bis zwei Jahre hat. Wenn dieses abläuft, wird man gefragt, ob man denn wirklich eine Internetverbindung mit einer Website möchte, die ein ungültiges Zertifikat hat.
Drückt man auf die Schaltfläche „Details“, dann erhält man weitere Informationen zu diesem ungültigen Zertifikat. In unserem Fall ist es schlichtweg abgelaufen.
Wird auf dem Server Plesk 12.5 als Server-Verwaltungssoftware eingesetzt, dann findet sich ein Menüpunkt „SSL-Zertifikat“ unter „Serververwaltung/Tools & Einstellungen/Sicherheit“.
Daraufhin öffnet sich eine Maske zur Verwaltung der Server SSL-Zertifikate.
Im nebenstehenden Screenshot (anklickbar zum Vergrößern) sieht man, dass auf dem Beispielserver ein Zertifikat vorliegt, welches als Standard-Zertifikat eingerichtet wurde und allen Domains vom Typ „Webhosting“ (hier 5) automatisch zugewiesen wurde.
Dieses Zertifikat ist in unserem Fall abgelaufen, kann aber als zugewiesenes Standardzertifikat augenblicklich nicht gelöscht werden.
Server-Zertifikat
Das Erzeugen und Zuordnen eines Server-Zertifikats läßt sich in zwei Arbeitsschritten leicht vornehmen. (Minimale Kenntnisse, wie die Verwendung von PuTTY werden vorausgesetzt.)
Schritt 1: Server Zertifikat erzeugen
- Melden Sie sich mit einem Programm wie PuTTY auf ihren Server an.
- Wechseln Sie in ein Verzeichnis, auf welches sie mit FileZilla Zugriff haben.
- Führen sie in der Command-Shell den folgenden, kompakten Befehl ein, der ihnen die zwei benötigten Dateien (server.crt und server.key) in einem Rutsch erzeugt .
- Und laden Sie dann anschließend die beiden Dateien (server.key und server.crt) auf ihren Desktop-Rechner herunter.
openssl req -new -days 999 -newkey rsa:4096bits -sha512 -x509 -nodes -out server.crt -keyout server.key
Schritt 2: Hochladen der Server Zertifikatdateien mit Plesk
Es ist so einfach, dass es fast schon peinlich ist, den Vorgang zu beschreiben.
- Auf der obigen SSL-Zertifikats Eingabemaske die Schaltfläche „Hinzufügen“ drücken.
- Dem neuen Zertifikat einen internen Namen für die SSL-Zertifikatsverwaltung geben. (Zur Orientierung: Das bisherige Zertifikat hieß „default certificate“.)
- Die beiden Dateien „server.key und server.cert“ hochladen.
- Das neue Zertifikat zum „Standard-Zertifikat“ machen.
- Löschen des evtl. vorhandenen, abgelaufenen SSL-Zertifikats
Das war es auch schon. Damit ist der E-Mail Server, was das SSL-Zertifikat betrifft, zufrieden gestellt.
Zusammenfassend
- Ein E-Mail Server braucht keine domain-spezifischen SSL-Zertifikate, die man kaufen muss oder mit Let’s Encrypt erzeugen kann!
- Die Erzeugung und Zuordnung eines Server-Zertifikats ist mit minimalen Serverkenntnissen leicht vorzunehmen.
Links
[1] Perfect-Knowhow.de: Drei wichtige Punkte für den Betrieb eines Mailservers
[2] Manitu Wiki: Selbst-signiertes SSL-Zertifikat erstellen
[3] Wikipedia: FQDN – Fully Qualified Domain Name