Verteilung eines selbstsignierten SSL-Zertifikats

Wechseln zu: Navigation, Suche


Hintergrund

Während der Installation von MailStore Server wird ein SSL-Zertifikat generiert, welches von allen MailStore Server Komponenten verwendet wird, wenn eine verschlüsselte Verbindung aufgebaut werden soll. Da das Zertifikat auf den Servernamen MailStoreServer ausgestellt ist und zudem nicht von einer vertrauenswürdigen Zertifizierungsstelle (CA) stammt, wird diesem clientseitig nicht vertraut.

MScert.png

In Folge dessen kommt es beim Aufruf des MailStore Web Access über HTTPS (TLS/SSL) oder im Outlook Add-In bei aktivierter "Sicherer Verbindung" zu einer Warnmeldung, die der Folgenden ähnelt:

MSnotrust.png

Bei der Verwendung von selbstsignierten Zertifikaten müssen folgende Voraussetzungen erfüllt sein, damit der sich anmeldende Client keine Zertifkatswarnung präsentiert bekommt:

  • Der Hostname des Computers, auf dem MailStore Server installiert ist, muss im Subject oder Subject Alternative Name des Zertifikats stehen. Im Falle von Firefox und Chrome sind Subject Alternative Name Felder zwingend notwendig.
  • Der Client muss diesen, bzw. einen von diesen Namen verwenden, wenn er sich zum Mailstore Server Dienst verbinden möchte.
  • Dem Aussteller des Zertifikats muss vertraut werden.
  • Die Gültigkeitsdauer des Zertifikats darf nicht abgelaufen sein.

Neben der in diesem Artikel beschriebenen Möglichkeit der Verteilung selbstsignierter Zertifikate mit Hilfe einer Gruppenrichtlinie stellt die Verwendung offiziell signierter SSL-Zertifikate einer eigenen Unternehmens CA oder eines öffentlichen Zertifikatsanbieters (bsp. VeriSign, eTrust, etc.) eine Alternative dar. Das Vorgehen ist im Artikel Verwendung eigener SSL Zertifikate beschrieben.

Um MailStore Server und Ihre Clients für die Verwendung eines selbstsignierten Zertifikats zu konfigurieren, gehen Sie wie im Folgenden beschrieben vor.

Bereitstellen eines selbstsignierten Zertifikats

Alternative 1: Verwenden des mitgelieferten Zertifikats

Das während der Installation von MailStore Server erstellte selbstsignierte Zertifikat ist auf den Namen MailStoreServer ausgestellt.

Im DNS-Server muss folglich ein A- oder CNAME-Eintrag MailStoreServer existieren, über den der Computer, auf dem MailStore Server installiert ist, erreicht werden kann.

Dieses Zertifikat kann nicht verwendet werden, wenn Firefox und Chrome Kompatibilität benötigt wird.

Alternative 2: Erstellen eines neuen Zertifikats mittels MailStore Server Dienst-Konfiguration

Diese Alternative ist gegenüber Alternative 3 zu bevorzugen, wenn Sie ein neues Zertifikat mit Standard-Parametern erstellen möchten. Diese Parameter sind unter anderem:

  • Der Subject-Wert wird vom Benutzer angegeben. Dies entspricht dem Hostnamen des MailStore Servers.
  • Das Zertifikat ist 20 Jahre gültig.
  • Der Signature-Algorithmus ist SHA256.
  • Es werden keine Subject Alternative Name Felder gesetzt.
  • Es wird kein FriendlyName gesetzt.

Da keine Subject Alternative Name Felder gesetzt sind, kann dieses Zertifikat nicht verwendet werden, wenn Firefox und Chrome Kompatibilität benötigt wird.

Führen Sie die folgenden Schritte durch, um das Zertifikat zu erstellen und zu verwenden:

  • Öffnen Sie die MailStore Server Dienst-Konfiguration.
  • Klicken Sie auf IP-Adressen und Ports.
  • Klicken Sie auf die Schaltfläche hinter dem Feld Serverzertifikat und wählen Sie Selbstsigniertes Zertifikat erstellen...
    Deploy selfsigned 00.png
  • Geben Sie als Namen des neuen Zertifikats den Servernamen an, unter dem der MailStore Server zu erreichen ist, z.B. mailstore.mydomain.local und klicken Sie anschließend auf OK.
  • Ersetzen Sie ggf. alle weiteren Serverzertifikate durch das neu erstellte Zertifikat. Klicken Sie dazu auf die Schaltfläche hinter dem Feld Serverzertifikat und wählen Sie Auswählen aus dem Zertifikatspeicher...

Alternative 3: Erstellen eines neuen Zertifikats mittels certreq

Diese Alternative ist zu bevorzugen, wenn Sie Anforderungen an das Zertifkat haben, welche von den Standard-Parametern nicht erfüllt werden können, z.B. wenn Sie alternative Antragstellernamen verwenden (Subject Alternative Names/SAN) oder den Gültigkeitszeitraum verringern möchten.

  • Melden Sie sich am MailStore Server Computer als Administrator an.
  • Erstellen Sie die Datei request.inf mit folgendem Inhalt:
;----------------- request.inf -----------------
[Version]
Signature="$Windows NT$"

[NewRequest]
; replace Subject attributes in the line below with real values
Subject = "CN=mailstoreserver.example.com, OU=Department, O=Organisation, L=Locality, S=State, C=Country"
HashAlgorithm = sha256
KeySpec = 1
KeyLength = 2048
Exportable = TRUE
FriendlyName = mailstoreserver.example.com
MachineKeySet = TRUE
SMIME = False
PrivateKeyArchive = FALSE
UserProtected = FALSE
UseExistingKeySet = FALSE
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
ProviderType = 12
RequestType = Cert
KeyUsage = 0xa0
ValidityPeriodUnits = 20
ValidityPeriod = Years
 
[EnhancedKeyUsageExtension]
OID = 1.3.6.1.5.5.7.3.1 ; this is for Server Authentication

[Extensions]
2.5.29.17 = "{text}"
_continue_ = "DNS=mailstoreserver.example.com&"
_continue_ = "DNS=mailstoreserver&"
_continue_ = "DNS=172.31.1.5&"
_continue_ = "IPADDRESS=172.31.1.5&"
  • Passen Sie Subject, FriendlyName, ValidityPeriodUnits und ValidityPeriod Ihren Bedüfnissen an.
  • Passen Sie die _continue_ Zeilen den Anforderungen Ihrer Umgebung an. Zeilen können hinzugefügt oder entfernt werden. Alle gültigen Hostnamen müssen im Extensions Bereich auftauchen.
  • Speichern Sie die Datei.
  • Öffnen Sie eine Kommandozeile als Administrator und navigieren Sie in das Verzeichnis, in das Sie die Datei request.inf abgelegt haben.
  • Erstellen Sie das Zertifikat durch das Ausführen des folgenden Befehls:
certreq -new request.inf request.csr
  • Öffnen Sie die MailStore Server Dienst-Konfiguration.
  • Klicken Sie auf IP-Adressen und Ports.
  • Klicken Sie auf die Schaltfläche hinter dem Feld Serverzertifikat (…) und wählen Sie Auswählen aus dem Zertifikatspeicher...
  • Wählen Sie das zuvor erstelle Zertifikat aus und klicken Sie anschließend auf OK.
  • Ersetzen Sie ggf. alle weiteren Serverzertifikate. Klicken Sie dazu auf die Schaltfläche hinter den Feldern Serverzertifikat (…) und wählen Sie Auswählen aus dem Zertifikatspeicher...

Verteilen des selbstsigniertes Zertifikats

Bevor das selbstsignierte Zertifikat verteilt werden kann, muss es wie im Folgenden beschrieben aus dem bisherigen Zertifikatspeicher exportiert werden:

  • Öffnen Sie die MailStore Server Dienst-Konfiguration.
  • Klicken Sie auf IP-Adressen und Ports.
  • Klicken Sie auf das Zertifikat.
  • Öffnen Sie die Registerkarte Details.
  • Klicken Sie nun auf In Datei kopieren.
  • Folgen Sie den Anweisungen des Zertifikatexports-Assistenten, um das Zertifikat ohne den privaten Schlüssel im DER-codierten Format in eine Datei zu exportieren.

Nachdem Sie das Zertifikat erfolgreich in eine Datei exportiert haben, erstellen Sie wie unter MailStore Client Deployment bzw. MailStore Outlook Add-In Deployment beschrieben eine Gruppenrichtlinie und passen Sie diese zum Verteilen des Zertifikats wie folgt an:

  • Öffnen Sie das Gruppenrichtlinienobjekt mit Hilfe der Gruppenrichtlinien-Verwaltungskonsole Ihres Windows-Servers.
  • Öffnen Sie den Zweig Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Richtlinie für öffentliche Schlüssel.
  • Klicken Sie mit der rechten Maustaste auf Vertrauenswürdige Stammzertifizierungsstellen und wählen Sie Importieren....
  • Folgen Sie den Anweisungen des Zertifikatsimport-Assistenten, um das Zertifikat aus der Datei zu importieren.
  • Öffnen Sie unter Richtlinie für öffentliche Schlüssel die Eigenschaften des Zertifikatdienstclient - Automatische Registrierung.
    Deploy selfsigned 01.png
  • Ändern Sie das Konfigurationsmodell auf Aktiviert und klicken Sie auf OK.
  • Öffnen Sie unter Richtlinie für öffentliche Schlüssel die Eigenschaften der Einstellungen für die Überprüfung des Zertifikatpfades.
    Deploy selfsigned 02.png
  • Setzen Sie das Häkchen bei Diese Richtlinieneinstellungen definieren und klicken und klicken Sie auf OK.

Die Gruppenrichtlinie wird beim nächsten Starten der Arbeitsstationen, nach dem automatischen regelmäßigen ausrollen der Gruppenrichtlinien, oder nach dem manuellen aktualisieren der Gruppenrichtlinien aktiv.

Firefox Kompatibilität hinzufügen

Firefox implementiert seine eigene Zertifikatverwaltung und greift standardmäßig nicht auf den Windows Zertifikatspeicher zu. Seit Firefox 52 kann dieser jedoch angewiesen werden, zusätzlich den Windows Zertifikatspeicher zu verwenden.

  • Öffnen Sie Firefox und geben Sie about:config in die Adresszeile ein.
  • Bestätigen Sie die Sicherheitswarnung, falls eine erscheint.
  • Suchen Sie nach security.enterprise_roots.enabled und setzen Sie den Wert auf true/wahr. Erstellen Sie die Variable als Boolean, falls sie noch nicht existiert.
  • Starten Sie Firefox neu.

Diese Schritte müssen auf jedem Client-Computer manuell durchgeführt werden.

Weblinks

Navigation
Werkzeuge
Über MailStore

  • MailStore Server zählt zu den führenden E-Mail-Archivierungslösungen für kleine und mittelständische Unternehmen.
  • Mit MailStore Home steht zudem ein kostenloses Tool zur E-Mail-Archivierung für private Anwender bereit.