Verwendung von Lets Encrypt Zertifikaten: Unterschied zwischen den Versionen

[unmarkierte Version][unmarkierte Version]
Zeile 42: Zeile 42:
 
== Scenario 2: MailStore Server in einem externen Netzwerk ==
 
== Scenario 2: MailStore Server in einem externen Netzwerk ==
 
Wenn der MailStore Server Computer sich bereits in einem Netzwerk befindet, in welchem öffentliche IP-Adressen verwendet werden, z.B. in einem Rechenzentrum oder in einer DMZ, ist es in der Regel einfacher die Voraussetzungen zu erfüllen.
 
Wenn der MailStore Server Computer sich bereits in einem Netzwerk befindet, in welchem öffentliche IP-Adressen verwendet werden, z.B. in einem Rechenzentrum oder in einer DMZ, ist es in der Regel einfacher die Voraussetzungen zu erfüllen.
 +
 +
Für diese Scenario gehe wir davon aus, dass MailStore Server auf einem dedizierten Systemen betrieben wird.
 +
 +
# Weisen sie eine verfügbare, öffentliche IP-Adresse aus dem öffentlichen Netzwerk dem MailStore Server Computer zu.
 +
# Sollte eine Firewall im Einsatz sein, erstellen Sie eine Firewall-Regel, welche all Verbindungen auf TCP-Port 80 an die in Schritt 1 zugewiesene IP-Adresse erlaubt.
 +
# Fügen Sie einen A- oder CNAME-Eintrag der DNS-Zone Ihrer öffentlichen Domäne hinzu, z.B. mailstore.example.com welcher auf die öffentlichen IP-Adresse aus Schritt 1 verweist.
 +
 +
== Beziehen des Zertifikats ==
 +
* Öffnen Sie die MailStore Server Dienst-Konfiguration
 +
* Wählen Sie ''Netzwerkeinstellungen'' aus.
 +
* Klicken Sie im Abschnitt ''Zertifikat'' neben dem Zertifikat auf die Schaltfläche mit den drei Punkten.
 +
* Wählen Sie ''Von Let's Encrypt anfordern...'' aus.
 +
* Die Voraussetzungen werden angezeigt.
 +
*: [[File:Setup003c1.png|center|350px]]
 +
* Klicken Sie auf ''Weiter''.
 +
* Geben Sie Ihre Email-Adresse und den Servrenamen in die entsprechenden Feldern ein.
 +
* Öffnen Sie das Let's Encrypt Subscribers Agreement über den Link.
 +
* Nachdem Sie das Let's Encrypt Subscribers Agreement gelesen und verstanden haben, setzen Sie den Haken neben ''Ich akzeptiere Let's Encrypt Subscribers Agreement''.
 +
* Klicken Sie auf ''Fertigstellen''.
 +
* MailStore tested die Einstellungen nun gegen die Let's Encrypt Staging-Umgebung. Sollte ein Fehler auftreten, wird MailStore eine Warnung anzeigen. Bitte überprüfen Sie in dem Fall die Ausgaben des Protokolls, beheben Sie das Problem und versuchen es erneut.
 +
* Wenn der Test erfolgreich verlaufen ist, wird MailStore automatisch ein Zertifikat vom der Let's Encrypt Produktionsumgebung abrufen und bestätigen, dass die Einrichtung erfolgreich war.
 +
* Klicken Sie auf ''Fertigstellen''.

Version vom 27. Februar 2019, 11:12 Uhr

Hintergrund

Zum Sicherstellen von Authentizität und Sicherheit, verwendet MailStore Server TLS Zertifikate für die bereitgestellten Dienste. Während der Installation ermöglicht MailStore Server daher

  • das Erstellen eines selbst-signierten Zertifikats,
  • die Verwendung eines vorhandenen Zertifikats,
  • oder das Beziehen eines Zertifikats von Let's Encrypt.

Die Standardauswahl, das Erstellen eines selbst-signierten Zertifikats, wird of für die Erstinstallation von MailStore Server verwendet, da es keine externen Abhängigkeiten mit sich bringt. Während dies für eine Testinstallation akzeptabel sein mag, ist es es für den Produktionsbetrieb nicht empfohlen, das selbst-signierten Zertifikaten von anderen Client-Computern nicht vertraut wird, da sie nicht von einer vertrauenswürdigen Zertifizierungsstelle unterschrieben wurden und Benutzer sich an das Ignorieren von Zertifikatswarnungen gewöhnen könnten.

MScert.png

In Folge dessen kommt es beim Aufruf des MailStore Web Access zu folgender Warnmeldung, wenn selbst-signierte Zertifikate verwendet werden:

MSnotrust.png

Um diese Fehlermeldung zu eliminieren und damit die Sicherheit und den Benutzerkomfort zu erhöhen, muss MailStore für die Verwendung eines Zertifikats konfiguriert werden, welches von einer vertrauenswürdigen Zertifizierungsstelle unterschrieben wurde.

Im Folgenden wird beschrieben, wie ein solches Zertifikat von der freien Zertifizierungsstelle Let's Encrypt bezogen werden kann. Sollten Sie bereits im Besitz eines eigenen Zertifikats (z.B. Wildcard-Zertifikats für Ihre Domäne) sein, welches von einer vertrauenswürdigen Zertifizierungsstelle unterschrieben wurde, oder wenn sie manuell ein Zertifikat von einer bevorzugten Zertifizierungsstelle beziehen möchten, folgen Sie den Anweisungen in Verwendung eigener SSL Zertifikate.

Über Let's Encrypt

Let's Encrypt ist eine kostenfreie, automatisierte und offene Zertifizierungsstelle, welche von allen namhaften Browsern und Betriebssystemen unterstützt wird. Viele große, bekannte Sponsoren aus dem IT-Sektor unterstützen die Anstrengung von Let's Encrypt das Internet zu einem sichereren Ort zu machen.

Ein vollständig automatisierter Ausstellungsprozess eliminiert die Notwendigkeit für die Validierung mittels Email oder Telefon, wie Sie von traditionellen Zertifizierungsstellen durchgeführt wird, was mitunter Tage dauern kann.

Let's Encrypt Zertifikate sind lediglich 90 Tage gültig und sollten automatisch ab 60 Tagen erneuert werden. MailStore Server Nutzer müssen sich hierum jedoch keine Gedanken machen, da dies alles durch den MailStore Server Dienst gehandhabt wird.

Voraussetzungen

  • Ein öffentlicher DNS-Eintrag (A oder CNAME) muss für den Server existieren und auf die öffentliche IP-Adresse verweisen.
  • Der Server muss für den automatischen Domain-Validierungsprozess von Let's Encrypt über das Internet auf TCP-Port 80 (HTTP) erreichbar sein.

Scenario 1: MailStore Server im lokalen Netzwerk (LAN)

Das verbreitetste Scenario für eine MailStore Server Installation ist die in einem lokalen Netzwerk innerhalb der eigenen Organisation. Typischerweise besitzt der MailStore Server Computer eine private IP-Adresse (z.B. 192.168.0.10) und die Internetverbindung wird über einen Router hergestellt, der alle internen IP-Adressen mit seiner öffentlichen IP-Adresse maskiert. Diese Methode ist auch unter dem Namen Network Address Translation (NAT) bekannt.

Für diese Scenario gehe wir davon aus, dass MailStore Server auf einem dedizierten Systemen betrieben wird.

  1. Fragen Sie Ihren Internet Zugangsanbieter nach einer statischen, öffentlichen IP-Adresse für Ihren Router.
  2. Weisen Sie dem MailStore Server Computer eine verfügbare statische IP-Adresse aus dem lokalen Netzwerk zu.
  3. Erstellen Sie auf dem Router eine Port-Weiterleitung, welche alle Anfragen an TCP-Port 80 auf der öffentlichen IP-Adresse, welche in Schritt 1 zugewiesen wurden, an die interne IP-Adresse des MailStore Server Computers weiterleitet.
  4. Fügen Sie einen A- oder CNAME-Eintrag der DNS-Zone Ihrer öffentlichen Domäne hinzu, z.B. mailstore.example.com welcher auf die öffentlichen IP-Adresse aus Schritt 1 verweist.
  5. Abhängig davon, wie Namensauflösung innerhalb des lokalen Netzwerks stattfindet, muss ein entsprechender DNS-Eintrag auf den internen DNS-Server oder dem Router vorgenommen werden. Dieser Eintrag sollte jedoch auf die interne IP-Adresse des MailStore Server Computers verweisen.

Scenario 2: MailStore Server in einem externen Netzwerk

Wenn der MailStore Server Computer sich bereits in einem Netzwerk befindet, in welchem öffentliche IP-Adressen verwendet werden, z.B. in einem Rechenzentrum oder in einer DMZ, ist es in der Regel einfacher die Voraussetzungen zu erfüllen.

Für diese Scenario gehe wir davon aus, dass MailStore Server auf einem dedizierten Systemen betrieben wird.

  1. Weisen sie eine verfügbare, öffentliche IP-Adresse aus dem öffentlichen Netzwerk dem MailStore Server Computer zu.
  2. Sollte eine Firewall im Einsatz sein, erstellen Sie eine Firewall-Regel, welche all Verbindungen auf TCP-Port 80 an die in Schritt 1 zugewiesene IP-Adresse erlaubt.
  3. Fügen Sie einen A- oder CNAME-Eintrag der DNS-Zone Ihrer öffentlichen Domäne hinzu, z.B. mailstore.example.com welcher auf die öffentlichen IP-Adresse aus Schritt 1 verweist.

Beziehen des Zertifikats

  • Öffnen Sie die MailStore Server Dienst-Konfiguration
  • Wählen Sie Netzwerkeinstellungen aus.
  • Klicken Sie im Abschnitt Zertifikat neben dem Zertifikat auf die Schaltfläche mit den drei Punkten.
  • Wählen Sie Von Let's Encrypt anfordern... aus.
  • Die Voraussetzungen werden angezeigt.
    Setup003c1.png
  • Klicken Sie auf Weiter.
  • Geben Sie Ihre Email-Adresse und den Servrenamen in die entsprechenden Feldern ein.
  • Öffnen Sie das Let's Encrypt Subscribers Agreement über den Link.
  • Nachdem Sie das Let's Encrypt Subscribers Agreement gelesen und verstanden haben, setzen Sie den Haken neben Ich akzeptiere Let's Encrypt Subscribers Agreement.
  • Klicken Sie auf Fertigstellen.
  • MailStore tested die Einstellungen nun gegen die Let's Encrypt Staging-Umgebung. Sollte ein Fehler auftreten, wird MailStore eine Warnung anzeigen. Bitte überprüfen Sie in dem Fall die Ausgaben des Protokolls, beheben Sie das Problem und versuchen es erneut.
  • Wenn der Test erfolgreich verlaufen ist, wird MailStore automatisch ein Zertifikat vom der Let's Encrypt Produktionsumgebung abrufen und bestätigen, dass die Einrichtung erfolgreich war.
  • Klicken Sie auf Fertigstellen.