Verteilung eines selbstsignierten SSL-Zertifikats

Wechseln zu: Navigation, Suche


Hintergrund

Während der Installation von MailStore Server wird ein SSL-Zertifikat generiert, welches von allen MailStore Server Komponenten verwendet wird, wenn eine verschlüsselte Verbindung aufgebaut werden soll. Da das Zertifikat auf den Servernamen MailStoreServer ausgestellt ist und zudem nicht von einer vertrauenswürdigen Zertifizierungsstelle (CA) stammt, wird diesem clientseitig nicht vertraut.

MScert.png

In Folge dessen kommt es beim Aufruf des MailStore Web Access über HTTPS (TLS/SSL) oder im Outlook Add-In bei aktivierter "Sicherer Verbindung" zu einer Warnmeldung, die der Folgenden ähnelt:

MSnotrust.png

Bei der Verwendung von selbstsignierten Zertifikaten müssen folgende Voraussetzungen erfüllt sein, damit der sich anmeldende Client keine Zertifkatswarnung präsentiert bekommt:

  • Der Hostname des Computers, auf dem MailStore Server installiert ist, muss im Subject oder Subject Alternative Name des Zertifikats stehen.
  • Der Client muss diesen, bzw. einen von diesen Namen verwenden, wenn er sich zum Mailstore Server Dienst verbinden möchte.
  • Dem Aussteller des Zertifikats muss vertraut werden.
  • Die Gültigkeitsdauer des Zertifikats darf nicht abgelaufen sein.

Neben der in diesem Artikel beschriebenen Möglichkeit der Verteilung selbstsignierter Zertifikate mit Hilfe einer Gruppenrichtlinie stellt die Verwendung offiziell signierter SSL-Zertifikate einer eigenen Unternehmens CA oder eines öffentlichen Zertifikatsanbieters (bsp. VeriSign, eTrust, etc.) eine Alternative dar. Das Vorgehen ist im Artikel Verwendung eigener SSL Zertifikate beschrieben.

Um MailStore Server und Ihre Clients für die Verwendung eines selbstsignierten Zertifikats zu konfigurieren, gehen Sie wie im Folgenden beschrieben vor.

Bereitstellen eines selbstsignierten Zertifikats

Alternative 1: Verwenden des mitgelieferten Zertifikats

Das während der Installation von MailStore Server erstellte selbstsignierte Zertifikat ist auf den Namen MailStoreServer ausgestellt.

Im DNS-Server muss folglich ein A- oder CNAME-Eintrag MailStoreServer existieren, über den der Computer, auf dem MailStore Server installiert ist, erreicht werden kann.

Alternative 2: Erstellen eines neuen Zertifikats mittels MailStore Server Dienst-Konfiguration

Diese Alternative ist gegenüber Alternative 3 zu bevorzugen, wenn Sie ein neues Zertifikat mit Standard-Parametern erstellen möchten. Diese Parameter sind unter anderem:

  • Der Subject-Wert wird vom Benutzer angegeben. Dies entspricht dem Hostnamen des MailStore Servers.
  • Das Zertifikat ist 20 Jahre gültig.
  • Der Signature-Algorithmus ist SHA256.
  • Es werden keine Subject Alternative Names gesetzt.
  • Es wird kein FriendlyName gesetzt.

Führen Sie die folgenden Schritte durch, um das Zertifikat zu erstellen und zu verwenden:

  • Öffnen Sie die MailStore Server Dienst-Konfiguration.
  • Klicken Sie auf IP-Adressen und Ports.
  • Klicken Sie auf die Schaltfläche hinter dem Feld Serverzertifikat und wählen Sie Selbstsigniertes Zertifikat erstellen...
    Deploy selfsigned 00.png
  • Geben Sie als Namen des neuen Zertifikats den Servernamen an, unter dem der MailStore Server zu erreichen ist, z.B. mailstore.mydomain.local und klicken Sie anschließend auf OK.
  • Ersetzen Sie ggf. alle weiteren Serverzertifikate durch das neu erstellte Zertifikat. Klicken Sie dazu auf die Schaltfläche hinter dem Feld Serverzertifikat und wählen Sie Auswählen aus dem Zertifikatspeicher...

Alternative 3: Erstellen eines neuen Zertifikats mittels certreq

Diese Alternative ist zu bevorzugen, wenn Sie Anforderungen an das Zertifkat haben, welche von den Standard-Parametern nicht erfüllt werden können, z.B. wenn Sie alternative Antragstellernamen verwenden (Subject Alternative Names/SAN) oder den Gültigkeitszeitraum verringern möchten.

  • Melden Sie sich am MailStore Server Computer als Administrator an.
  • Erstellen Sie die Datei request.inf mit folgendem Inhalt:
;----------------- request.inf -----------------
[Version]
Signature="$Windows NT$"

[NewRequest]
; replace Subject attributes in the line below with real values
Subject = "CN=mailstoreserver.example.com, OU=Department, O=Organisation, L=Locality, S=State, C=Country"
HashAlgorithm = sha256
KeySpec = 1
KeyLength = 2048
Exportable = TRUE
FriendlyName = mailstoreserver.example.com
MachineKeySet = TRUE
SMIME = False
PrivateKeyArchive = FALSE
UserProtected = FALSE
UseExistingKeySet = FALSE
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
ProviderType = 12
RequestType = Cert
KeyUsage = 0xa0
ValidityPeriodUnits = 20
ValidityPeriod = Years
 
[EnhancedKeyUsageExtension]
OID = 1.3.6.1.5.5.7.3.1 ; this is for Server Authentication
  • Passen Sie Subject, FriendlyName, ValidityPeriodUnits und ValidityPeriod Ihren Bedüfnissen an.
  • Speichern Sie die Datei.
  • Öffnen Sie eine Kommandozeile als Administrator und navigieren Sie in das Verzeichnis, in das Sie die Datei request.inf abgelegt haben.
  • Erstellen Sie das Zertifikat durch das Ausführen des folgenden Befehls:
certreq -new request.inf request.csr
  • Öffnen Sie die MailStore Server Dienst-Konfiguration.
  • Klicken Sie auf IP-Adressen und Ports.
  • Klicken Sie auf die Schaltfläche hinter dem Feld Serverzertifikat (…) und wählen Sie Auswählen aus dem Zertifikatspeicher...
  • Wählen Sie das zuvor erstelle Zertifikat aus und klicken Sie anschließend auf OK.
  • Ersetzen Sie ggf. alle weiteren Serverzertifikate. Klicken Sie dazu auf die Schaltfläche hinter den Feldern Serverzertifikat (…) und wählen Sie Auswählen aus dem Zertifikatspeicher...

Optional: Subject Alternative Names (SAN)

Soll das Zertifikat für mehrere Hostnamen gültig sein, müssen sogenannte alternative Antragstellernamen (Subject Alternative Names/SAN) im Zertifikat enthalten sein. Fügen Sie die unten aufgeführte Extensions-Sektion ans Ende der Datei request.inf an. Passen Sie die Hostnamen Ihrer Umgebung an, weitere Hostnamen oder IP-Adressen können durch das Hinzufügen weiterer _continue_-Zeilen hinzugefügt werden. Speichern Sie die Datei ab, und führen Sie den oben genannten Befehl zur Zertifikatsgenerierung aus.

[Extensions]
2.5.29.17 = "{text}"
_continue_ = "DNS=mailstoreserver.example.com&"
_continue_ = "DNS=mailstoreserver&"
_continue_ = "IPADDRESS=172.31.1.5&"


Wichtiger Hinweis: Wenn Subject Alternative Names definiert werden, wird der Common Name (CN) in der Subject-Zeile von Clients ignoriert und es wird ein Fehler geworfen, wenn der Hostname mit keinem SAN identisch ist. Daher müssen alle möglichen Hostnamen in der Extension definiert sein.

Verteilen des selbstsigniertes Zertifikats

Bevor das selbstsignierte Zertifikat verteilt werden kann, muss es wie im Folgenden beschrieben aus dem bisherigen Zertifikatspeicher exportiert werden:

  • Öffnen Sie die MailStore Server Dienst-Konfiguration.
  • Klicken Sie auf IP-Adressen und Ports.
  • Klicken Sie auf das Zertifikat.
  • Öffnen Sie die Registerkarte Details.
  • Klicken Sie nun auf In Datei kopieren.
  • Folgen Sie den Anweisungen des Zertifikatexports-Assistenten, um das Zertifikat ohne den privaten Schlüssel im DER-codierten Format in eine Datei zu exportieren.

Nachdem Sie das Zertifikat erfolgreich in eine Datei exportiert haben, erstellen Sie wie unter MailStore Client Deployment bzw. MailStore Outlook Add-In Deployment beschrieben eine Gruppenrichtlinie und passen Sie diese zum Verteilen des Zertifikats wie folgt an:

  • Öffnen Sie das Gruppenrichtlinienobjekt mit Hilfe der Gruppenrichtlinien-Verwaltungskonsole Ihres Windows-Servers.
  • Öffnen Sie den Zweig Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Richtlinie für öffentliche Schlüssel.
  • Klicken Sie mit der rechten Maustaste auf Vertrauenswürdige Stammzertifizierungsstellen und wählen Sie Importieren....
  • Folgen Sie den Anweisungen des Zertifikatsimport-Assistenten, um das Zertifikat aus der Datei zu importieren.
  • Öffnen Sie unter Richtlinie für öffentliche Schlüssel die Eigenschaften des Zertifikatdienstclient - Automatische Registrierung.
    Deploy selfsigned 01.png
  • Ändern Sie das Konfigurationsmodell auf Aktiviert und klicken Sie auf OK.
  • Öffnen Sie unter Richtlinie für öffentliche Schlüssel die Eigenschaften der Einstellungen für die Überprüfung des Zertifikatpfades.
    Deploy selfsigned 02.png
  • Setzen Sie das Häkchen bei Diese Richtlinieneinstellungen definieren und klicken und klicken Sie auf OK.

Die Gruppenrichtlinie wird beim nächsten Starten der Arbeitsstationen aktiv.

Weblinks

Navigation
Werkzeuge
Über MailStore

  • MailStore Server zählt zu den führenden E-Mail-Archivierungslösungen für kleine und mittelständische Unternehmen.
  • Mit MailStore Home steht zudem ein kostenloses Tool zur E-Mail-Archivierung für private Anwender bereit.