Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Mit OpenSSL und CAcert ein X.509-Zertifikat für Postfix und Courier erstellen

Mitglied: EUDatabase

EUDatabase (Level 1) - Jetzt verbinden

24.06.2009, aktualisiert 13:35 Uhr, 18578 Aufrufe, 1 Danke

Die Vorgeschichte:

Ich habe einen Ubuntu 8.10 Server nach der Anleitung http://www.howtoforge.com/perfect-server-ubuntu-8.10 „Der perfekte Server“ eingerichtet. Allerdings mit Postfix und Courier als Mailserver.

Da die dort selbst erstellten Zertifikate bei MS Outlook 2003 permanent um die Bestätigung bitten benutzt werden zu dürfen habe ich mich für ein Zertifikat von CAcert entschieden.

CAcert ist eine gemeinschaftsbetriebene, nicht-kommerzielle Zertifizierungsstelle (Certification Authority, Root-CA oder kurz CA), die kostenfrei X.509-Zertifikate für verschiedene Einsatzgebiete ausstellt. Damit soll eine Alternative zu den kommerziellen Root-CAs geboten werden, die zum Teil recht hohe Gebühren für ihre Zertifikate erheben.

Durch das Root-Zertifikat, welches bei CAcert herruntergeladen werden kann vertraut Outlook nun den Zertifikaten.

Das Vorgehen:

Ein Zertifkat erstellen

Zur besseren Übersicht erstellen wir uns ein Verzeichnisse „/etc/ssl-cacert/“

mkdir /etc/ssl-cacert/
mkdir /etc/ssl-cacert/mail

dann brauchen wir eine Datei für die OpenSSL Config

nano /etc/ssl-cacert/openssl.conf

#--- openssl.conf ---
RANDFILE = $ENV::HOME/.rnd

[ req ]
default_bits = 1024
default_keyfile = keyfile.pem
distinguished_name = req_distinguished_name
attributes = req_attributes
prompt = no
output_password =

[ req_distinguished_name ]
C = Ihr Land z.B. DE
ST = Ihr Bundesland
L = Ihre Stadt
O = Ihre Organisation
OU = Ihre Organisation
commonName = DOMAIN.TLD
emailAddress = webmaster@DOMAIN.TLD

[ req_attributes ]
challengePassword = ein beliebiges Passwort
#--- Ende openssl.conf ---

Am wichtigsten ist der commonName. Hier muss der qualifizierte Name Ihres Servers stehen!
Das hinter challengePassword angegebene Passwort brauchen wir später noch einige male, daher sollten Sie es sich merken können. Da es auch der Schutz des Zertifikates ist sollte das Passwort nicht zu kurz sein. Ein sicheres Passwotz sollte Groß-, Kleinbuchstaben, Zahlen und Sonderzeichen enthalten und nicht in einem Wörterbuch vorkommen.

Jetzt erstellen wir unser OpenSSL Zertifikat.

openssl genrsa -des3 -out /etc/ssl/certs/mail_server.key 1024

openssl req -new -days 1825 -key /etc/ssl/certs/mail_server.key \ -out /etc/ssl/certs/mail_server.csr \ -config /etc/ssl-cacert/openssl.conf

openssl rsa -in /etc/ssl/certs/mail_server.key –out /etc/ssl/certs/mail_private.key.decrypted

Bei diesen 3 Befehlen wir immer wieder nach dem Passwort gefragt. Also nicht einfach Enter – Enter – Enter

Jetzt brauchen wir einen Account bei CAcert. Unter https://www.cacert.org/index.php?id=1 müssen wir uns registrieren. Für die Registrierung ist ebenfalls ein sicheres Passwort erforderlich. Nach dem ausfüllen des Formulars sendet CACert uns die übliche Mail, die wir bestätigen müssen. Danach dürfen wir uns unter My Account – Password Login einloggen und dort unsere Domain, unter Domains -> Hinzufügen, eintragen. Um eine Domain hinzuzufügen müst Ihr über eine Mailadresse verfügen, die dem Domaininhaber (AdminC) gehört. Maist ist das webmaster@EureDomain.de. An diese Mailadresse sendet CAcert dann ebenfalls eine Mail um die Angaben zu verifizieren. Ich musste mich für jede Domain neu anmelden, aber das bischen Tiparbeit habe ich überlebt.
Nachdem die Domain hinzugefügt wurde, kann nun das Server Zertifikat beantragt werden. Dazu geht man in Server Zertifikate -> Neu und kopiert den Inhalt von /etc/ssl/certs/mail_server.csr in das untenstehende leere Textfeld.

cat /etc/ssl/certs/mail_server.csr

-----BEGIN CERTIFICATE REQUEST-----
.
.
-----END CERTIFICATE REQUEST-----

Nach ein paar Sekunden wird dann das CAcert Zertifikat angezeigt:

-----BEGIN CERTIFICATE------
.
.
-----END CERTIFICATE-----


Jetzt brauchen wir eine neue Datei mit den Namen apache_server.crt.

nano /etc/ssl/certs/mail_server.crt

Hier kopieren wir das Zertifikat von CAcert hinein.


Anwendung in Postfix

Um Postfix mit SSL zu benutzen, kopieren wir einfach die Dateien nach /etc/ssl-cacert/mail/.

cp /etc/ssl/certs/mail_server.key /etc/ssl-cacert/mail/mail.key
cp /etc/ssl/certs/mail_server.csr /etc/ssl-cacert/mail/mail.csr
cp /etc/ssl/certs/mail_server.crt /etc/ssl-cacert/mail/mail.crt
cp /etc/ssl/certs/mail_private.key.decrypted /etc/ssl-cacert/mail/mail.key.decrypted

Jetzt wird noch das root Zertifikat von CAcert benötigt. Dieses laden wir uns direkt von CAcert herunter.

wget --no-check-certificate https://www.CAcert.org/certs/root.crt -O /etc/ssl-cacert/mail/cacert.crt

chmod a=r /etc/ssl-cacert/mail/cacert.crt


Jetzt passen wir noch die Konfiguration von Postfix an.

nano /etc/postfix/main.cf

Hier suchen wir die Zeilen bzw. fügen diese ein:

smtp_tls_key_file = /etc/ssl-cacert/mail/mail.key.decrypted
smtp_tls_cert_file = /etc/ssl-cacert/mail/mail.crt
smtp_tls_CAfile = /etc/ssl-cacert/mail/cacert.crt

smtpd_tls_key_file = /etc/ssl-cacert/mail/mail.key.decrypted
smtpd_tls_cert_file = /etc/ssl-cacert/mail/mail.crt
smtpd_tls_CAFile = /etc/ssl-cacert/mail/cacert.crt

Nachdem abspeichern muss Postfix neu gestartet werden, damit die Ändernungen wirksam werden.

/etc/init.d/postfix restart


Anwendung in Courier IMAP-SSL

Courier IMAP-SSL brauch eine PEM Datei, welche aus der key Datei, sowie der beglaubigten CRT Datei von CAcert besteht.

Diese PEM Datei müssen wir erstellen.

cat /etc/ssl-cacert/mail/mail.key.decrypted /etc/ssl-cacert/mail/mail.crt > /etc/ssl-cacert/mail/mail.pem

Nun konfigurieren wir Courier-IMAP für SSL mit CAcert Zertifikat. Dazu muss in der /etc/courier/imapd-ssl der Pfad zur eben erstellten PEM Datei verweisen.

nano /etc/courier/imapd-ssl

Hier suchen wir die Zeilen bzw. fügen diese ein:

TLS_CERTFILE=/etc/ssl-cacert/mail/mail.pem
TLS_TRUSTCERTS=/etc/ssl-cacert/mail/mail.crt
TLS_VERIFYPEER=none

Nachdem abspeichern muss Courier neu gestartet werden.

/etc/init.d/courier-imap-ssl restart

Anwendung in Courier POP3-SSL

Wie bei IMAP-SSL muss auch für Courier POP3-SSL eine PEM Datei bereitgestellt werden. Die haben wir aber schon, daher brauchen wir keien neue erstellen.

Lediglich die Eintragung der PEM-Datei in der Konfig von POP3-SSL fehlt noch.

nano /etc/courier/pop3d-ssl

TLS_CERTFILE=/etc/ssl-cacert/mail/mail.pem

Wie gewohnt nach dem abspeichern muss Courier neu gestartet werden.

/etc/init.d/courier-pop-ssl restart


Damit haben wir nun unser eigenes neues Zertifikat auf unserem Mailserver. Leider reicht das für Outlook immernochnicht aus um die Meldung beim senden und emofangen von Mails abzuschalten. Allerdings gilt unser Zertifikat nun nicht mehr als unsicher.

Um den Meldungen nun letztendlich den Gar aus zu machen öffnen wir den Internetexplorer und gehen auf die Seite http://www.cacert.org/index.php?id=3 . Dort können wir das Root-Zertifikat von CAcert herunterladen bzw. installieren. Es gibt einen Link „Click here if you want to import the root certificate into Microsoft Internet Explorer 5.x/6.x“, der aber bei mir nicht funktioniert hat. Deshalb habe ich den Link „Root Certificate (PEM Format)“ gewählt und mit „öffnen“ bestätigt. Danach öffnet sich das Root-Zertifikat von CAcert, welches dann mittels „Zertifikat installieren ...“ in den eigenen Zertifikatscontainer für vertrauet Zertifikatsstellen kopiert wird. Die Sicherheitsabfrage von Outlook gehört nun der Vergangenheit an.

Das hier erstellte Zertifikat kann natürlich auch für diverse andere Anwendungen wie z.B. für den Apachen benutzt werden.

Ich hoffe ich konnte einigen heir ein paar Anregungen geben und wünsche viel Erfolg beim ausprobieren.
Ähnliche Inhalte
Administrator.de Feedback
Neues SSL-Zertifikat von Letsencrypt
Information von admtechAdministrator.de Feedback1 Kommentar

Hallo Administrator User, wir benutzen ab sofort für die administrator.de Domäne ein SSL-Zertifikat von Letsencrypt. Wie immer erhalten wir ...

Firewall

PfSense Repository für Version 2.3.x

Information von 108012Firewall9 Kommentare

Hallo, eventuell ist es Euch auch schon aufgefallen dass vor rund ~90 Tagen der Wechsel Version 2.3.4_p1 vollzogen wurde ...

Windows 10

Windows X 1511 auf USB-Stick

Erfahrungsbericht von LochkartenstanzerWindows 107 Kommentare

Hi, habe gerade ein Experiment gemacht: ein momentan ungenutzte Win7-Lizenz aus der Kruschtelkischd ausgegraben. Windows 10 mit dieser Win7-Lizenz ...

Verschlüsselung & Zertifikate

Lets Encrypt stellt nun auch Wildcard-Zertifikate aus

Information von em-pieVerschlüsselung & Zertifikate

Für alle, die sich mit der Thematik "Zertifikate" etwas mehr beschäftigen und dabei Let's Encrypt in Betracht ziehen respektive ...

Neue Wissensbeiträge
Multimedia & Zubehör
AVM Fritz USB WLAN Sticks schneller einschalten
Tipp von NetzwerkDude vor 4 StundenMultimedia & Zubehör

Die AVM Fritz WLAN Sticks haben in der Firmware 2 Modis: Einmal als Massenspeicher und einmal als WLAN Netzwerkkarte ...

Windows Server

Windows Server Backup schlögt Fehl -Lösung 2008-2016

Tipp von BiGnoob vor 7 StundenWindows Server

Hi zusammen , ich möchte gerne einen Lösungstipp abgeben für folgenden fehler: lösung ist folgende:

Humor (lol)
Telekom vs. O2 - 3:2
Erfahrungsbericht von the-buccaneer vor 20 StundenHumor (lol)3 Kommentare

Unglaublich aber wahr: Nachdem mein privater Anschluss am 19.04.18 auf VOIP und VDSL umgestellt wurde, hatte ich seitdem 1,5 ...

Batch & Shell

Windows 10 Heimnetzgruppe abgeschaft. Ein Script für einfache Netzwerk - Freigabe im Heimnetzwerk

Anleitung von treehe vor 22 StundenBatch & Shell3 Kommentare

Anleitung für eine einfache Netzwerkfreigabe unter Windows 10 Wie weiter hab mal ein kleines CMD - Script gebastelt. Womit ...

Heiß diskutierte Inhalte
Netzwerke
IP-Adresse am zweiten Domänencontroller fest vergeben - Server verschwunden
gelöst Frage von DanielG1974Netzwerke23 Kommentare

Ich hab ein Problem, was ich bisher noch nicht erlebt habe Ich habe erfolgreich einen zweiten Server mit ActiveDirectory ...

Windows Server
Windows Server 2012 - Update - Beim Booten bleibt der Server beim Windows Zeichen stehen
Frage von KeilbachWindows Server15 Kommentare

Hallo Zusammen, ich grüße euch, mein Name ist Michele. Ich bin hier ganz Neu - da ich einfach nicht ...

Windows Tools
Virtueller Drucker gesucht (Schnittstelle: USB oder Seriell)
Frage von chrisButterflyWindows Tools14 Kommentare

Hi, ich suche einen virtuellen Drucker, den ich über eine USB oder serieller Schnittstelle ansprechen kann. Dieser Drucker soll ...

Firewall
Sophos SG 125 nicht mehr erreichbar
Frage von GwaihirFirewall14 Kommentare

Hallo zusammen, ausgerechnet über die Feiertage stimmt etwas mit meiner Firmen-Firewall nicht. Es ist eine Sophos SG 125 und ...