Verwendung von Let's Encrypt Zertifikaten

Version vom 22. März 2022, 16:28 Uhr von Bmeyn (Diskussion | Beiträge)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)

Über Let's Encrypt

Let's Encrypt ist eine kostenfreie, automatisierte und offene Zertifizierungsstelle, welcher von allen namhaften Webbrowsern und Betriebssystemen vertraut wird. Viele große, bekannte Sponsoren aus dem IT-Sektor unterstützen die Anstrengung von Let's Encrypt, das Internet zu einem sichereren Ort zu machen.

Ein vollständig automatisierter Genehmigungsprozess eliminiert die Notwendigkeit für die Validierung per Email oder Telefon, wie sie von traditionellen Zertifizierungsstellen durchgeführt wird und mitunter mehrere Tage in Anspruch nehmen kann.

Let's Encrypt Zertifikate sind lediglich 90 Tage gültig und müssen daher regelmäßig erneuert werden. Der MailStore Gateway-Dienst kümmert sich um das automatische Erneuern, nachdem die initiale Konfiguration erfolgt ist.

Voraussetzungen

Für den MailStore Gateway-Computer muss ein öffentlicher DNS-Eintrag (A oder CNAME) existieren und auf eine öffentliche IP-Adresse verweisen. Der MailStore Gateway-Computer muss für den automatischen Domain-Validierungsprozess von Let's Encrypt über das Internet auf TCP-Port 80 (HTTP) erreichbar sein. Da Let's Encrypt von verschiedenen IP-Adressen aus die Validierung durchführt, kann eine eventuell benötigte Firewall-Regel nicht auf bestimmte Quell-IP-Adressen eingeschränkt sein.

Szenario 1: MailStore Gateway im lokalen Netzwerk (LAN)

Das verbreitetste Szenario für eine MailStore Gateway-Installation ist die in einem lokalen Netzwerk innerhalb der eigenen Organisation. Typischerweise besitzt der MailStore Gateway-Computer eine private IP-Adresse (z.B. 192.168.0.10) und die Internetverbindung wird über einen Router hergestellt, der alle internen IP-Adressen mit seiner externen IP-Adresse maskiert. Diese Methode ist unter dem Namen Network Address Translation (NAT) bekannt.

Für diese Szenario gehen wir davon aus, dass das MailStore Gateway auf einem neuen, dedizierten System betrieben wird.

  1. Fragen Sie Ihren Internet-Zugangsanbieter nach einer statischen, öffentlichen IP-Adresse für Ihren Router.
  2. Weisen Sie dem MailStore Gateway-Computer eine verfügbare, statische IP-Adresse aus dem lokalen Netzwerk zu.
  3. Erstellen Sie auf dem Router eine Port-Weiterleitung, die alle Anfragen an TCP-Port 80 auf der in Schritt 1 zugewiesenen, öffentlichen IP-Adresse, an die in Schritt 2 zugewiesene, interne IP-Adresse des MailStore Gateway-Computers weiterleitet.
    Hinweis: In der MailStore Gateway-Konfiguration können Sie den Let's Encrypt HTTP-01 Challenge Port ändern, auf dem der MailStore Gateway-Dienst an der in Schritt 2 zugewiesenen, internen IP-Adresse lauscht. Auf der in Schritt 1 zugewiesenen, öffentlichen IP-Adresse des Routers muss jedoch in jedem Fall TCP-Port 80 verwendet werden, da der Genehmigungsprozess von Let's Encrypt nur diesen HTTP-Standard-TCP-Port unterstützt. Wenn Sie den lokalen Let's Encrypt HTTP-01 Challenge Port ändern, müssen Sie diese Änderung auch in der in Schritt 3 erstellten Port-Weiterleitung berücksichtigen.
  4. Fügen Sie einen A- oder CNAME-Eintrag der DNS-Zone Ihrer öffentlichen Domäne hinzu, z.B. mailstore.example.com, der auf die öffentliche IP-Adresse aus Schritt 1 verweist.
  5. Abhängig davon, wie Namensauflösung innerhalb des lokalen Netzwerks stattfindet, muss ein entsprechender DNS-Eintrag auf den internen DNS-Server oder dem Router vorgenommen werden. Dieser Eintrag sollte jedoch auf die interne IP-Adresse des MailStore Gateway-Computers verweisen.

Szenario 2: MailStore Gateway in einem externen Netzwerk

Wenn der MailStore Gateway-Computer sich bereits in einem Netzwerk befindet, in dem öffentliche IP-Adressen verwendet werden, z.B. in einem Rechenzentrum oder in einer DMZ, ist es in der Regel einfacher, die Voraussetzungen zu erfüllen.

Für diese Szenario gehen wir davon aus, dass das MailStore Gateway auf einem dedizierten System betrieben wird.

  1. Weisen Sie dem MailStore Gateway-Computer eine verfügbare, öffentliche IP-Adresse aus dem öffentlichen Netzwerk zu.
  2. Sollte eine Firewall im Einsatz sein, erstellen Sie eine Firewall-Regel, die alle Verbindungen auf TCP-Port 80 an die in Schritt 1 zugewiesene IP-Adresse erlaubt.
    Hinweis: In der MailStore Gateway-Konfiguration können Sie den Let's Encrypt HTTP-01 Challenge Port ändern, auf dem der MailStore Gateway-Dienst an der in Schritt 1 zugewiesenen, öffentlichen IP-Adresse lauscht. Im hier beschriebenen Szenario muss jedoch in jedem Fall TCP-Port 80 verwendet werden, da der Genehmigungsprozess von Let's Encrypt nur diesen HTTP-Standard-TCP-Port unterstützt.
  3. Fügen Sie einen A- oder CNAME-Eintrag der DNS-Zone Ihrer öffentlichen Domäne hinzu, z.B. mailstore.example.com, der auf die öffentliche IP-Adresse aus Schritt 1 verweist.

Beziehen des Zertifikats

Das MailStore Gateway testet die Einstellungen gegen die Let's Encrypt Staging-Umgebung. Sollte ein Fehler auftreten, wird es eine Warnung anzeigen. Bitte überprüfen Sie in dem Fall die Ausgaben des Protokolls, beheben Sie das Problem und versuchen es erneut. Wenn der Test erfolgreich verlaufen ist, wird das MailStore Gateway automatisch ein Zertifikat von der Let's Encrypt Produktionsumgebung abrufen und bestätigen, dass die Einrichtung erfolgreich war.

Das automatische Erneuern der Let's Encrypt Zertifikate alle 60 Tage bleibt solange aktiv, bis manuell ein anderes Zertifikat ausgewählt wird.