Verwendung von Lets Encrypt Zertifikaten: Unterschied zwischen den Versionen
| [unmarkierte Version] | [unmarkierte Version] |
(Die Seite wurde neu angelegt: „== Hintergrund == Zum Sicherstellen von Authentizität und Sicherheit, verwendet MailStore Server TLS Zertifikate für die bereitgestellten Dienste. Während d…“) |
|||
| Zeile 26: | Zeile 26: | ||
== Voraussetzungen == | == Voraussetzungen == | ||
| − | * Ein öffentlicher DNS-Eintrag (A oder CNAME) muss für den Server existieren | + | * Ein öffentlicher DNS-Eintrag (A oder CNAME) muss für den Server existieren und auf die öffentliche IP-Adresse verweisen. |
| − | und auf die öffentliche IP-Adresse verweisen. | + | * Der Server muss für den automatischen Domain-Validierungsprozess von Let's Encrypt über das Internet auf TCP-Port 80 (HTTP) erreichbar sein. |
| − | * Der Server muss für den automatischen Domain-Validierungsprozess von Let's Encrypt über das Internet auf TCP-Port 80 (HTTP) erreichbar sein. | ||
== Scenario 1: MailStore Server im lokalen Netzwerk (LAN) == | == Scenario 1: MailStore Server im lokalen Netzwerk (LAN) == | ||
Version vom 27. Februar 2019, 10:45 Uhr
Hintergrund
Zum Sicherstellen von Authentizität und Sicherheit, verwendet MailStore Server TLS Zertifikate für die bereitgestellten Dienste. Während der Installation ermöglicht MailStore Server daher
- das Erstellen eines selbst-signierten Zertifikats,
- die Verwendung eines vorhandenen Zertifikats,
- oder das Beziehen eines Zertifikats von Let's Encrypt.
Die Standardauswahl, das Erstellen eines selbst-signierten Zertifikats, wird of für die Erstinstallation von MailStore Server verwendet, da es keine externen Abhängigkeiten mit sich bringt. Während dies für eine Testinstallation akzeptabel sein mag, ist es es für den Produktionsbetrieb nicht empfohlen, das selbst-signierten Zertifikaten von anderen Client-Computern nicht vertraut wird, da sie nicht von einer vertrauenswürdigen Zertifizierungsstelle unterschrieben wurden und Benutzer sich an das Ignorieren von Zertifikatswarnungen gewöhnen könnten.
In Folge dessen kommt es beim Aufruf des MailStore Web Access zu folgender Warnmeldung, wenn selbst-signierte Zertifikate verwendet werden:
Um diese Fehlermeldung zu eliminieren und damit die Sicherheit und den Benutzerkomfort zu erhöhen, muss MailStore für die Verwendung eines Zertifikats konfiguriert werden, welches von einer vertrauenswürdigen Zertifizierungsstelle unterschrieben wurde.
Im Folgenden wird beschrieben, wie ein solches Zertifikat von der freien Zertifizierungsstelle Let's Encrypt bezogen werden kann. Sollten Sie bereits im Besitz eines eigenen Zertifikats (z.B. Wildcard-Zertifikats für Ihre Domäne) sein, welches von einer vertrauenswürdigen Zertifizierungsstelle unterschrieben wurde, oder wenn sie manuell ein Zertifikat von einer bevorzugten Zertifizierungsstelle beziehen möchten, folgen Sie den Anweisungen in Verwendung eigener SSL Zertifikate.
Über Let's Encrypt
Let's Encrypt ist eine kostenfreie, automatisierte und offene Zertifizierungsstelle, welche von allen namhaften Browsern und Betriebssystemen unterstützt wird. Viele große, bekannte Sponsoren aus dem IT-Sektor unterstützen die Anstrengung von Let's Encrypt das Internet zu einem sichereren Ort zu machen.
Ein vollständig automatisierter Ausstellungsprozess eliminiert die Notwendigkeit für die Validierung mittels Email oder Telefon, wie Sie von traditionellen Zertifizierungsstellen durchgeführt wird, was mitunter Tage dauern kann.
Let's Encrypt Zertifikate sind lediglich 90 Tage gültig und sollten automatisch ab 60 Tagen erneuert werden. MailStore Server Nutzer müssen sich hierum jedoch keine Gedanken machen, da dies alles durch den MailStore Server Dienst gehandhabt wird.
Voraussetzungen
- Ein öffentlicher DNS-Eintrag (A oder CNAME) muss für den Server existieren und auf die öffentliche IP-Adresse verweisen.
- Der Server muss für den automatischen Domain-Validierungsprozess von Let's Encrypt über das Internet auf TCP-Port 80 (HTTP) erreichbar sein.
Scenario 1: MailStore Server im lokalen Netzwerk (LAN)
Das verbreitetste Scenario für eine MailStore Server Installation ist die in einem lokalen Netzwerk innerhalb der eigenen Organisation. Typischerweise besitzt der MailStore Server Computer eine private IP-Adresse (z.B. 192.168.0.10) und die Internetverbindung wird über einen Router hergestellt, der alle internen IP-Adressen mit seiner öffentlichen IP-Adresse maskiert. Diese Methode ist auch unter dem Namen Network Address Translation (NAT) bekannt.
Für diese Scenario gehe wir davon aus, dass MailStore Server auf einem dedizierten Systemen betrieben wird.
- Fragen Sie Ihren Internet Zugangsanbieter nach einer statischen, öffentlichen IP-Adresse für Ihren Router.
- Weisen Sie dem MailStore Server Computer eine verfügbare statische IP-Adresse aus dem lokalen Netzwerk zu.
- Erstellen Sie auf dem Router eine Port-Weiterleitung, welche alle Anfragen an TCP-Port 80 auf der öffentlichen IP-Adresse, welche in Schritt 1 zugewiesen wurden, an die interne IP-Adresse des MailStore Server Computers weiterleitet.
- Fügen Sie einen A- oder CNAME-Eintrag der DNS-Zone Ihrer öffentlichen Domäne hinzu, z.B. mailstore.example.com welcher auf die öffentlichen IP-Adresse aus Schritt 1 verweist.
- Abhängig davon, wie Namensauflösung innerhalb des lokalen Netzwerks stattfindet, muss ein entsprechender DNS-Eintrag auf den internen DNS-Server oder dem Router vorgenommen werden. Dieser Eintrag sollte jedoch auf die interne IP-Adresse des MailStore Server Computers verweisen.
