Verteilung eines selbstsignierten SSL-Zertifikats

Hintergrund

Während der Installation von MailStore Server wird ein SSL-Zertifikat generiert, welches von allen MailStore Server Komponenten verwendet wird, wenn eine verschlüsselte Verbindung aufgebaut werden soll. Da das Zertifikat auf den Servernamen MailStoreServer ausgestellt ist und zudem nicht von einer vertrauenswürdigen Zertifizierungsstelle (CA) stammt, wird diesem Clientseitig nicht vertraut.

MScert.png

In Folge dessen kommt es beim Aufruf des MailStore Web Access über HTTPS (SSL) oder im Outlook Add-In bei aktivierter "Sicherer Verbindung" zu folgender Warnmeldung:

MSnotrust.png

Neben der in diesem Artikel beschriebenen Möglichkeit der Verteilung selbstsignierte Zertifikate mit Hilfe einer Gruppenrichtlinie, stellt die Verwendung offiziell signierter SSL-Zertifikate einer eigenen Unternehmens CA oder eines öffentlichen Zertifikatsanbieters (bsp. VeriSign, eTrust, etc.) eine Alternative dar. Das Vorgehen ist im Artikel Verwendung eigener SSL Zertifikate beschrieben.

Um MailStore Server und Ihre Clients für die Verwendung eines selbstsignierten Zertifikats zu konfigurieren, gehen Sie wie im Folgenden beschrieben vor.

Erstellen eines selbstsignierten Zertifikats

Das während der Installation von MailStore Server erstellte selbstsignierte Zertifikat ist auf den Servernamen MailStoreServer ausgestellt.

Entspricht der DNS-Hostname des Servers nicht MailStoreServer und existiert kein entsprechender A- oder CNAME-Record im DNS-Server, müssen Sie zunächst ein neues selbstsigniertes Zertifikat mit passendem Hostnamen erstellen. Das Vorgehen ist im Folgenden beschrieben:

  • Öffnen Sie die MailStore Server Dienst-Konfiguration
  • Klicken Sie auf IP-Adressen und Ports
  • Klicken Sie auf die Schaltfläche hinter dem Feld Serverzertifikat und wählen Sie Selbstsigniertes Zertifikat erstellen...
    Deploy selfsigned 00.png
  • Geben Sie als Namen des neuen Zertifikats den Servernamen an, unter dem der MailStore Server zu erreichen ist, z.B. mailstore.mydomain.local und klicken Sie anschließend auf OK.
  • Ersetzen Sie ggf. alle weiteren Serverzertifikate durch das neu erstellte Zertifikat. Klicken Sie dazu auf die Schaltfläche hinter dem Feld Serverzertifikat und wählen Sie Auswählen aus dem Zertifikatspeicher...

Verteilen des selbstsigniertes Zertifikats

Bevor das selbstsignierte Zertifikat verteilt werden kann, muss es wie im Folgenden beschrieben, aus dem bisherigen Zertifikatspeicher exportiert werden:

  • Öffnen Sie die MailStore Server Dienst-Konfiguration.
  • Klicken Sie auf IP-Adressen und Ports.
  • Klicken Sie auf das Zertifikat.
  • Öffnen Sie die Registerkarte Details.
  • Klicken Sie nun auf In Datei kopieren.
  • Folgen Sie den Anweisungen des Zertifikatexports-Assistenten um das Zertifikat ohne den privaten Schlüssel im DER-codierten Format in einer Datei zu exportieren.

Nachdem Sie das Zertifikat erfolgreich in eine Datei exportiert haben, erstellen Sie wie unter MailStore Client Deployment bzw. MailStore Outlook Add-In Deployment beschrieben eine Gruppenrichtlinie und passen Sie diese zum Verteilen des Zertifikats wie folgt an:

  • Öffnen Sie das Gruppenrichtlinienobjekt mit Hilfe der Gruppenrichtlinien-Verwaltungskonsole Ihres Windows-Servers.
  • Öffnen Sie den Zweig Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Richtlinie für öffentliche Schlüssel.
  • Klicken Sie mit der rechten Maustaste auf Vertrauenswürdige Stammzertifizierungsstellen und wählen Sie Importieren....
  • Folgen Sie den Anweisungen des Zertifikatimport-Assistenten um das Zertifikat aus der Datei zu importieren.
  • Öffnen Sie unter Richtlinie für öffentliche Schlüssel die Eigenschaften des Zertifikatdienstclient - Automatische Registrierung
    Deploy selfsigned 01.png
  • Ändern Sie das Konfigurationsmodell auf Aktiviert und klicken Sie auf OK.
  • Öffnen Sie unter Richtlinie für öffentliche Schlüssel die Eigenschaften der Einstellungen für die Überprüfung des Zertifikatpfades
    Deploy selfsigned 02.png
  • Setzen Sie das Häkchen bei Diese Richtlinieneinstellungen definieren und klicken und klicken Sie auf OK.

Die Gruppenrichtlinie wird beim nächsten Starten der Arbeitsstationen aktiv.