itallrounder
Goto Top

HMailserver mit SSL Zertifikat verschlüsseln

Hallo,

ich habe seid langem Privat einen hMailserver mit diversen Domains am laufen nun wird es langsam mal Zeit mit SSL zu verschlüsseln.

Ich bin bei StartCom SSL Registriert und CLASS 2 Validiert, kann daher beliebig viele Multi und Wildcard Zertifikate ausstellen.

Ich habe aber sogut wie absolut keine Ahnung von SSL und dem Zeugs...

Im hMailserver kann ich einen Namen hinterlegen (Hostname?), ich muss ein Certifikate File angeben, sowie Private Key File (WO liegt da der Unterschied, was ist für was zuständig)

Ich möchte gerne via IMAP SSL auf den Server zugreifen und meine E-Mails aufm Smartphone und PC abrufen.
Wie macht ich das?
Bei StartCom habe ich die Wahl zwischen: S/MIME, SSL/TLS, XMPP & Object Code Signing Certifikate.

Ich bitte um Hilfe!

Content-Key: 233743

Url: https://administrator.de/contentid/233743

Ausgedruckt am: 28.03.2024 um 14:03 Uhr

Mitglied: AndiEoh
AndiEoh 27.03.2014 um 15:44:47 Uhr
Goto Top
Hallo,

ich kenne hMailserver nicht deshalb nur allgemeine Tips:

- Der "Name" des Mailservers ist üblicherwiese der Name unter dem er im DNS zu finden ist, also irgendwas in der Art <Maschinenname>.<Domain>.<TLD>. Dieser wird im SMTP Dialog etc. verwendet und dieser Name muß auch im SSL Zertifikat zu finden sein

- Zertifikat = öffentlicher "Schlüssel" der von deiner CA (Startssl) beglaubigt ist und Informationen über den Hostnamen enthält. Wird verwendet um die Daten die an den Server geschickt werden zu verschlüsseln. Dieses Zertifikat sollten alle Clients kennen und bis zur CA hoch validieren können.

- Private Key = privater "Schlüssel" der üblicherweise nur aus binär-müll besteht. Wird dazu verwendet die mit den öffentlichen Schlüssel verschlüsselten Daten wieder lesbar zu machen. Dieser private Schlüssel sollte nie aus der Hand gegeben werden bzw. so gut wie irgend möglich geschützt.

- Zugriff per IMAP-TLS ist auf dem selben Port wie IMAP (143) mit STARTTLS möglich, ansonsten gibt es noch IMAP-SSL auf Port 993
SMTP ist üblicherweise Port 587 mit STARTTLS

Um das Ganze einzurichten benötigst du mindestens ein SSL/TLS Zertifikat mit dem passenden private key welcher im Falle von StartCom entweder dort erzeugt wird (nicht empfohlen siehe Punkt 3), oder von dir selbst z.B. mit openssl erzeugt wird.

Gruß

Andi
Mitglied: ITAllrounder
ITAllrounder 27.03.2014 um 17:12:42 Uhr
Goto Top
Hey,

besten Dank für deine Hilfe ;)

Hat mir schon mal weitergeholfen.
Ich habe mich mal an OpenSSL gewagt und mir Win32OpenSSL_light_1_0_1_f.exe runtergeladen und installiert.
Jetzt habe ich die Anleitung gefunden: http://www.werthmoeller.de/doc/microhowtos/openssl/
Bin aber maßlos mit der Situation überfordert ^^
Ist es eventuell schlauer, dass OpenSSL gelumpe auf meinem Raspi zu installieren und darüber den Private Key zu erstellen?
Denke in einer Linux Umgebung läuft SSL besser?!
Mitglied: AndiEoh
AndiEoh 27.03.2014 um 17:38:50 Uhr
Goto Top
Ich mach das immer so:

  1. Erzeugen von 2048Bit RSA key
openssl genrsa -out <Dateiname>.key 2048

  1. CSR zum einreichen bei root-CA erzeugen
openssl req -new -sha256 -key ./<Dateiname>.key -out <Dateiname>.csr

Den Inhalt von <Dateiname>.csr dann bei StartSSL einkippen (Certificate Request)

Nach der reinen Lehre wird der Raspi zu wenig Entropie für die Schlüsselerzeugung haben, aber sicher besser als ein fremdgenerierten Schlüssel zu verwenden face-wink

Der Punkt ist das du alles was mit CA Management etc zu tun hat weglassen kannst, das macht StartSSL. Du brauchst nur deinen private Key (siehe oben) und ein Zertifikat welches aus deinem CSR von der CA (StartSSL) erzeugt wird. Die Abfragen bei der Erzeugung des CSR sind übrigens egal, da diese Werte von StartSSL eh überschrieben werden.

Gruß und viel Erfolg

Andi