MDaemon versieht die über das Menü SSL & TLS erstellten Zertifikate mit einer Eigensignatur. Der Aussteller des Zertifikats, die sog. Zertifizierungsstelle oder Certificate Authority (regelmäßig als CA abgekürzt), ist dabei gleich dem Herausgeber des Zertifikats. Diese Vorgehensweise ist zulässig, die Zertifizierungsstelle ist aber auf den Systemen der Benutzer noch nicht in den Listen der vertrauenswürdigen Zertifizierungsstellen eingetragen. Dies führt beim Verbindungsaufbau zu Webmail oder zur Remoteverwaltung über HTTPS zu einem Sicherheitshinweis, der den Benutzer fragt, ob er die Seite aufrufen und das Zertifikat installieren will. Sobald der Benutzer diesem Vorgehen zugestimmt und die Webmail-Domäne als vertrauenswürdige Zertifizierungsstelle eingestuft hat, erscheinen beim Verbindungsaufbau zu Webmail oder zur Remoteverwaltung keine Sicherheitshinweise mehr.
Stellen die Benutzer die Verbindung zu MDaemon über einen Mailclient, wie etwa Microsoft Outlook, her, so wird ihnen die Installation des Zertifikats nicht angeboten. Die Benutzer können wählen, ob sie das Zertifikat vorübergehend nutzen wollen, obwohl es nicht als vertrauenswürdig eingestuft ist; sie müssen außerdem bei jedem Verbindungsaufbau zum Mailserver nach einem Neustart des Mailclients diese Frage beantworten. Um dies zu vermeiden, können Sie entweder ein Zertifikat von einer anerkannten Zertifizierungsstelle beziehen, wie etwa Let's Encrypt, oder Sie können Ihr eigensigniertes Zertifikat exportieren und über E-Mail oder auf anderem Weg an Ihre Benutzer übermitteln. Die Benutzer können dann das Zertifikat manuell installieren und als vertrauenswürdig kennzeichnen, sodass weitere Warnmeldungen vermieden werden.
Erstellen eines Zertifikats
Um in MDaemon ein Zertifikat zu erstellen, gehen Sie folgendermaßen vor:
| 1. | Rufen Sie den Konfigurationsdialog für SSL & TLS auf (erreichbar unter ). |
| 2. | Aktivieren Sie das Kontrollkästchen SSL, STARTTLS und STLS aktivieren. |
| 3. | Tragen Sie in das Textfeld Hostname den Domänennamen ein, zu dem das Zertifikat gehört (z.B. "mail.example.com"). |
| 4. | Tragen Sie in das Textfeld Name der Organisation/Firma den Namen der Organisation oder des Unternehmens ein, dem das Zertifikat gehört. |
| 5. | Tragen Sie in das Textfeld Weitere Hostnamen... alle weiteren Domänennamen ein, zu denen Ihre Nutzer unter Verwendung dieses Zertifikats gesicherte Verbindungen herstellen (z.B. "*.example.com", "example.com", "mail.altn.com", usw.). |
| 6. | Wählen Sie eine Schlüssellänge für das Zertifikat aus. |
| 7. | Wählen Sie Land oder Region aus, in der sich der Server befindet. |
Nutzung eines Zertifikats eines anderen Ausstellers
Auch ein gekauftes oder sonst von einer anderen Stelle als MDaemon ausgestelltes Zertifikat kann verwendet werden. Es muss dazu mithilfe der Microsoft-Management-Konsole in den Zertifikatsspeicher eingelesen werden, den MDaemon verwendet. Hierzu sind unter Windows XP folgende Schritte nötig:
| 1. | Klicken Sie in der Windows-Taskleiste auf und geben Sie in das Textfeld "mmc /a" ein. |
| 3. | Klicken Sie in der Microsoft Management Console in der Menüleiste auf (oder drücken Sie ). |
| 4. | Klicken Sie auf der Registerkarte Eigenständig auf |
| 5. | Klicken Sie im Konfigurationsdialog Eigenständiges Snap-In hinzufügen auf und dann auf . |
| 6. | Im Konfigurationsdialog Zertifikat Snap-In wählen Sie , und klicken Sie dann auf . |
| 7. | Im Konfigurationsdialog Computer auswählen wählen Sie , und klicken Sie dann auf . |
| 8. | Klicken Sie auf , und klicken Sie auf . |
| 9. | Ist das Zertifikat, das Sie importieren, eigensigniert, so klicken Sie unter Zertifikate (Lokaler Computer) im rechten Bereich des Fensters auf und dann auf . Falls es nicht eigensigniert ist, klicken Sie auf . |
| 10. | Klicken Sie in der Menüleiste auf und dann auf . |
| 11. | Geben Sie Pfad und Dateinamen zu dem Zertifikat an, das Sie importieren wollen (navigieren Sie nötigenfalls mithilfe von Durchsuchen), und klicken Sie auf . |
| 12. | Klicken Sie erneut auf dann klicken Sie auf . |
|
MDaemon zeigt nur Zertifikate an, deren private Schlüssel dem Standard "Privater Informationsaustausch (PKCS #12)" entsprechen. Falls das importierte Zertifikat nicht in der Liste erscheint, kann es nötig sein, eine PEM-Datei zu importieren, die sowohl den Schlüssel für das Zertifikat als auch den privaten Schlüssel enthält. Zum Import dieser Datei sind ebenfalls die oben aufgeführten Schritte erforderlich; die Datei wird hierdurch in das Format PKCS #12 umgewandelt.
|
Verwaltung Ihres Zertifikats mithilfe von Let's Encrypt
Let's Encrypt ist eine Zertifizierungsstelle (auch Certificate Authority, kurz CA), die mithilfe eines automatisierten Verfahrens unentgeltlich Zertifikate zur Verfügung stellt. Dieses Verfahren soll die derzeit noch weit verbreiteten und komplexen Verfahren der manuellen Erstellung, Echtheitsprüfung, Signatur, Installation und Verlängerung von Zertifikaten für die Sicherung von Websites ablösen.
Um dieses Verfahren zu unterstützen, steht Ihnen der Konfigurationsdialog Let's Encrypt zur Verfügung. Mithilfe dieses Konfigurationsdialog wird das automatische Verfahren zur Verwaltung eines Zertifikats unterstützt, das Let's Encrypt bereitstellt. Sie können hier ein PowerShell-Skript einfach konfigurieren und ausführen, das im Verzeichnis "MDaemon\LetsEncrypt" abgelegt ist. Wenn Sie dieses Skript ausführen, wird hierdurch das System für Let's Encrypt eingerichtet, und insbesondere werden die für die erfolgreiche Abwicklung der http-01-Challenge erforderlichen Dateien in das HTTP-Verzeichnis von Webmail kopiert. Das Skript nutzt als Domäne für das Zertifikat den SMTP-Hostnamen der Standard-Domäne und fügt etwa konfigurierte Weitere Hostnamen ein, ruft das Zertifikat ab, importiert es in Windows, und konfiguriert MDaemon so, dass das Zertifikat für MDaemon, Webmail und die Remoteverwaltung genutzt wird. Darüber hinaus erstellt das Skript im Verzeichnis "MDaemon\Logs\" die Protokolldatei LetsEncrypt.log. Diese Protokolldatei wird immer dann, wenn das Skript ausgeführt wird, gelöscht und neu erstellt. Sie beinhaltet Datum und Uhrzeit, wann das Skript ausgeführt wurde. Falls Sie eine E-Mail-Adresse des Administrators für Benachrichtigungen angegeben haben, werden im Fehlerfall Benachrichtigungen an diese Adresse versandt. Nähere Informationen finden Sie im Abschnitt Let's Encrypt.
Siehe auch:
SSL & TLS
