Difference between revisions of "Deploying a Self-signed SSL Certificate"

Jump to: navigation, search
[unchecked revision][unchecked revision]
m (Background)
Line 5: Line 5:
 
[[Datei:MScert.png|350px|center]]
 
[[Datei:MScert.png|350px|center]]
 
   
 
   
Because of this the following warning message appears when calling up MailStore Web Access via HTTPS (SSL):
+
Because of this, the following warning message appears when calling up MailStore Web Access via HTTPS (SSL):
  
 
[[Datei:MSnotrust.png|550px|center]]
 
[[Datei:MSnotrust.png|550px|center]]

Revision as of 06:16, 22 June 2012

Background

During the installation of MailStore Server, an SSL certificate is generated which is used by all MailStore components if an encrypted connection is to be established. Because the certificate is issued to the server name MailStoreServer and does not originate from a trusted certification authority (CA), is not trusted by the client side.

350px|center

Because of this, the following warning message appears when calling up MailStore Web Access via HTTPS (SSL):

550px|center

This article describes the option to deploy self-signed certificates using a group policy. An alternative is to use officially signed SSL certificates issued by your own company CA or a public certificate provider, such as VeriSign or eTrust, which is described in chapter Using Your Own SSL Certificate.

To configure MailStore Server and your clients for using a self-signed certificate, please proceed as described in the following.

Creating a Self-Signed Certificate

The self-signed certificate created during the installation of MailStore Server is issued by the server name MailStoreServer.

If the DNS host name of the server does not correspond to MailStoreServer and if no corresponding A- or CNAME record exists in the DNS server, first a new self-signed certificate with the appropriate host name must be created. Please proceed as follows:

  • Open the MailStore Server Service Configuration.
  • Click on IP Addresses and Ports.
  • Click on the button next to the field Server Certificate and select Create self-signed certificate...
    Deploy selfsigned 00.png
  • As name for the new certificate, enter the server name at which the MailStore server can be reached, e.g. mailstore.mydomain.local, and click on OK.
  • If necessary, replace all additional server certificates with the new certificate. To do so, click on the button next to the Server Certificate field and select Choose from Certificate Store...

Verteilen des selbstsigniertes Zertifikats

Bevor das selbstsignierte Zertifikat verteilt werden kann, muss es wie im Folgenden beschrieben, aus dem bisherigen Zertifikatspeicher exportiert werden:

  • Öffnen Sie die MailStore Server Dienst-Konfiguration.
  • Klicken Sie auf IP-Adressen und Ports.
  • Klicken Sie auf das Zertifikat.
  • Öffnen Sie die Registerkarte Details.
  • Klicken Sie nun auf In Datei kopieren.
  • Folgen Sie den Anweisungen des Zertifikatexports-Assistenten um das Zertifikat ohne den privaten Schlüssel im DER-codierten Format in einer Datei zu exportieren.

Nachdem Sie das Zertifikat erfolgreich in eine Datei exportiert haben, erstellen Sie wie unter MailStore Client Deployment bzw. MailStore Outlook Add-In Deployment beschrieben eine Gruppenrichtlinie und passen Sie diese zum Verteilen des Zertifikats wie folgt an:

  • Öffnen Sie das Gruppenrichtlinienobjekt mit Hilfe der Gruppenrichtlinien-Verwaltungskonsole Ihres Windows-Servers.
  • Öffnen Sie den Zweig Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Richtlinie für öffentliche Schlüssel.
  • Klicken Sie mit der rechten Maustaste auf Vertrauenswürdige Stammzertifizierungsstellen und wählen Sie Importieren....
  • Folgen Sie den Anweisungen des Zertifikatimport-Assistenten um das Zertifikat aus der Datei zu importieren.
  • Öffnen Sie unter Richtlinie für öffentliche Schlüssel die Eigenschaften des Zertifikatdienstclient - Automatische Registrierung
    Deploy selfsigned 01.png
  • Ändern Sie das Konfigurationsmodell auf Aktiviert und klicken Sie auf OK.
  • Öffnen Sie unter Richtlinie für öffentliche Schlüssel die Eigenschaften der Einstellungen für die Überprüfung des Zertifikatpfades
    Deploy selfsigned 02.png
  • Setzen Sie das Häkchen bei Diese Richtlinieneinstellungen definieren und klicken und klicken Sie auf OK.

Die Gruppenrichtlinie wird beim nächsten Starten der Arbeitsstationen aktiv.

Navigation
Tools
Print/export
About MailStore

  • MailStore Server is one of the leading email archiving solutions for SMB.
  • For private use there is a free tool for email archiving furthermore: MailStore Home.