Verwendung eigener SSL Zertifikate: Unterschied zwischen den Versionen
| [unmarkierte Version] | [unmarkierte Version] |
Admin (Diskussion | Beiträge) |
Admin (Diskussion | Beiträge) |
||
| Zeile 25: | Zeile 25: | ||
Mit Hilfe dieser Programme wird zunächst ein privater Schluessel und anschließend eine Zertifikatsanforderung generiert. Die Zertifikatsanforderung, niemals aber der private Schluessel, muss an die Certificate Authority übertragen werden. Nach der Signierung der Zertifikatsanforderung durch die Certificate Authority erhalten Sie das daraus resultierende Zertifikat von dieser zurück. | Mit Hilfe dieser Programme wird zunächst ein privater Schluessel und anschließend eine Zertifikatsanforderung generiert. Die Zertifikatsanforderung, niemals aber der private Schluessel, muss an die Certificate Authority übertragen werden. Nach der Signierung der Zertifikatsanforderung durch die Certificate Authority erhalten Sie das daraus resultierende Zertifikat von dieser zurück. | ||
| − | Bitte beachten Sie, dass der private Schlüssel mit dem die Zertifikatsanforderung erstellt wurde im selben Zertifikatspeicher liegen muss, wie später das Zertifikat. In der Regel ist dies ''Zertifikate (Lokaler Computer) > | + | Bitte beachten Sie, dass der private Schlüssel mit dem die Zertifikatsanforderung erstellt wurde im selben Zertifikatspeicher liegen muss, wie später das Zertifikat. In der Regel ist dies ''Zertifikate (Lokaler Computer) > Eigene Zertifikate > Zertifikate''. |
== Installieren des Zertifikats == | == Installieren des Zertifikats == | ||
Version vom 15. Mai 2012, 07:04 Uhr
Hintergrund
Während der Installation von MailStore Server wird ein SSL-Zertifikat generiert, welches von allen MailStore Server Komponenten verwendet wird, wenn eine verschlüsselte Verbindung aufgebaut werden soll. Da das Zertifikat auf den Servernamen MailStoreServer ausgestellt ist und zudem nicht von einer vertrauenswürdigen Zertifizierungsstelle (CA) stammt, wird diesem Clientseitig nicht vertraut.
In Folge dessen kommt es beim Aufruf des MailStore Web Access über HTTPS (SSL) zu folgender Warnmeldung:
Eine Möglichkeit besteht nun darin, den Server, auf dem MailStore Server installiert ist, unter dem Hostnamen MailStoreServer erreichbar zu machen (z.B. durch Hinzufügen eines A- oder CNAME-Records im DNS) und ferner auf den Clients das Zertifikat in den Container der Vertrauenswürdigen Stammzertifizierungsstellen zu installieren. Da letzteres meist mit einem relativ hohem administrativen Aufwand verbunden ist, bietet MailStore Server die Möglichkeit, signierte Zertifikate einer eigenen Unternehmens CA oder Zertifikate eines öffentlichen Zertifikatsanbieters (bsp. VeriSign, eTrust, etc.) zu verwenden.
Um MailStore Server für die Verwendung eines eigenes Zertifikats zu konfigurieren, gehen Sie wie im Folgenden beschrieben vor.
Erstellen einer Zertifikatsanforderung
Zum Erstellen einer Zertifikatsanforderung bzw. Certificate Signing Request (CSR) stehen Ihnen diverse Werkzeuge zur Verfügung. Bitte haben Sie Verständnis dafür, dass wir auf deren Benutzung hier nicht weiter eingehen können.
Zu den verbreitetsten Programmen zur SSL-Zertifikatsverwaltung gehören:
- Certificates MMC snap-in
- certreq.exe
- openssl.exe
Mit Hilfe dieser Programme wird zunächst ein privater Schluessel und anschließend eine Zertifikatsanforderung generiert. Die Zertifikatsanforderung, niemals aber der private Schluessel, muss an die Certificate Authority übertragen werden. Nach der Signierung der Zertifikatsanforderung durch die Certificate Authority erhalten Sie das daraus resultierende Zertifikat von dieser zurück.
Bitte beachten Sie, dass der private Schlüssel mit dem die Zertifikatsanforderung erstellt wurde im selben Zertifikatspeicher liegen muss, wie später das Zertifikat. In der Regel ist dies Zertifikate (Lokaler Computer) > Eigene Zertifikate > Zertifikate.
Installieren des Zertifikats
Nachdem Sie von Ihrer Certificate Authority das signierte SSL-Zertifikat erhalten haben, können Sie es mit Hilfe des Certificates MMS Snap-In installieren. Liegt der private Schlüssel und das Zertifikat gemeinsam in einer Datei (z.B. PKCS#12) vor, kann auch die MailStore Server Dienst-Konfiguration zum Import verwendet werden.
- Melden Sie sich am Server als Administrator an.
- Klicken Sie Start | Ausführen.
- Führen Sie den Befehl mmc aus.
- Wählen Sie nun Datei | Snap-In hinzufügen/entfernen | Hinzufügen | Zertifikate.
- Wählen Sie in der nun folgenden Auswahl lokales Computerkonto und anschließend lokaler Computer.
- Schließen Sie die Auswahl über Fertigstellen ab und schließen Sie die noch offenen Dialoge.
- Wählen Sie in der Management-Konsole Eigene Zertifikate | Zertifikate.
- Klicken Sie mit der rechten Maustaste auf den Ordner Zertifikate und wählen Sie Alle Aufgaben | Importieren.
- Folgen Sie den Anweisungen des Assistenten und wählen Sie die Datei aus, welche das Zertifikat und ggf. den privaten Schlüssel enthält.
- Wählen Sie auf der Seite Zertifikatsspeicher den Container Eigene Zertifikate aus und schließen Sie den Assistenten anschließend ab.
- Das Zertifikat wird nun im Container Eigene Zertifikate angezeigt.
- Zur Kontrolle öffnen Sie das Zertifikat über einen Doppelklick und vergewissern Sie sich, dass Sie über den privaten Schlüssel für das Zertifikat verfügen.
Das Zertifikat mit MailStore Server verwenden
- Öffnen Sie nun die MailStore Server Dienst-Konfiguration.
- Wählen Sie den Punkt IP-Adressen und Ports
- Klicken Sie im entsprechenden Abschnitt auf die Schaltfläche rechts des Textfeldes Serverzertifikat und wählen Sie Auswählen aus dem Zertifikatsspecicher... aus.
- Wählen Sie aus dem Zertifikatsspeicher das neue Zertifikat aus.
- Bestätigen Sie die Eingaben und starten Sie abschließend den MailStore Server-Dienst neu.
