SSL Verschlüesselung für Mailserver

Home-›Foren-›Mailserver-›SSL Verschlüesselung für Mailserver

  • Dieses Thema hat 2 Antworten und 2 Teilnehmer, und wurde zuletzt aktualisiert 17:59 um 29. März 2010 von Unbekannt.
Ansicht von 3 Beiträgen - 1 bis 3 (von insgesamt 3)
  • Autor
    Beitrag
  • #51402
    haubmi
    Teilnehmer

      Hallo,

      ich habe einen lokalen Mailserver laufen (mit einer DynDNS).
      Ich möchte die Authentifizierung und die Datenübertragung in POP3, IMAP, SMTP
      SSL gesichert laufen haben.

      Was für Zertifikate muß ich in den Mailserver importieren?
      Wo bekommt man welche umsonst?

      Bei StartSSL bekomme ich umsonst nur Client Zertifikate, die betätigen das meine
      email Adresse stimmt.
      Oder gibts da noch mehr?

      Danke
      Michael

      #178986
      haubmi
      Teilnehmer

        Hallo,

        habe mir mal CAcert angemeldet.

        Hier habe ich schon zwei Client Zertifikate für meine zwei email Adressen erstellt.
        Hier konnte ich auch meinen DynDNS bzw. No-IP namen als domäne verifizieren.
        (Brauchte dazu einen lokalen SMTP server der die Verifizierungs email von CAcert empfängt.)

        Jetzt möchte ich ein Server Zertifikat erstellen.
        Die wollen aber einen CSR(Certificate Signing Request) in ein Textfeld eingefügt haben.

        Dazu habe ich mir OpenSSL installiert.
        Wie erzeuge ich ein CSR?
        Kann ich dazu einen personal Key aus den Client Zertifikaten raus ziehen?

        Ich nehme an das die personal Keys der beiden Client Zertifikate unterschiedlich sind (wurden von denen bei mir im Browser erzeugt).
        Beiden habe ich das gleiche Passwort gegeben.
        Ist es dann wurscht aus welchem Client Zertifikat ich den personal Key raus ziehe?

        Vielen Dank
        Michael

        #179000
        Unbekannt
        Teilnehmer

          Laut Beschreibung sollte es auch kostenlose Server-Zertifikate geben. Ich habe aber auch nichts gefunden, wo man die beantragen könnte. CACert hat den Nachteil, daß die in den meisten Systemen nicht von vornherein als vertrauenswürdig eingestuft sind.
          Mit den Befehlen
          [code]openssl genrsa -out blabla123.dyndns.org.key 2048
          openssl req -new -key blabla123.dyndns.org.key -out blabla123.dyndns.org.csr[/code]
          kannst Du einen neuen Key und CSR erzeugen.
          Wenn der Key bereits bei der Beantragung des Zertifikates vom Browser erzeugt wurde, ist dies nicht mehr nötig. In den Zertifikaten ist der private Key nicht enthalten, nur der öffentliche. Das Zertifikat bestätigt die Echtheit des öffentlichen Schlüssels. Da das Zertifikat öffentlich verfügbar ist, wäre der der private Key dort auch nicht gut aufgehoben.
          Wenn Du den Internetexplorer verwendet hast, ist der private Key im Systemzertifikatsspeicher abgelegt. Du mußt ggf. noch der Zertifikat importieren (per Doppelklick öffnen und »installieren«). Öffne in der Systemsteuerung die Internetoptionen und wähle dort den Tab »Inhalt«. Klicke dort auf Zertifikate und dann auf den Tab persönliche Zertifikate. Dort kannst Du das Zertifikat zusammen mit dem privaten Key in eine .p12-Datei exportieren, die Du wiederum in Deinen Mailserver importieren kannst. (Sofern der nicht auch den Systemzertifikatsspeicher verwendet.)
          Mozilla kocht leider sein eigenes Süppchen. Wenn Du Firefox verwendet hast, findest Du die Zertifikate unter Extras->Einstellungen->Erweitert->Verschlüsselung->Zertifikate anzeigen->Ihre Zertifikate. (Auch hier ggf. erst noch das Zertifikat importieren.)

        Ansicht von 3 Beiträgen - 1 bis 3 (von insgesamt 3)

        Du musst angemeldet sein, um auf dieses Thema antworten zu können.

        -