Zentrale Einbindung von TLS-Zertifikaten für Mail- und Webdienste

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen

Zentrale Einbindung eines TLS-Zertifikats für Postfix, Dovecot und Apache2

Diese Anleitung beschreibt die zentrale Einbindung eines internen TLS-Zertifikats für folgende Dienste:

Postfix (SMTPS)
Dovecot (IMAPS)
Apache2 (HTTPS)

Verwendete Dateien

mail.it1xx.int.crt       → Serverzertifikat  
mail.it1xx.int.key       → Privater Schlüssel  
ca.crt                   → Interne CA  
mail.it1xx.int.csr       → Optional, wird nicht benötigt

ca.crt in das System einbauen

  • cp ca.crt /usr/local/share/ca-certificates/
  • update-ca-certificates
Updating certificates in /etc/ssl/certs...
rehash: warning: skipping ca-certificates.crt,it does not contain exactly one certificate or CRL
1 added, 0 removed; done.
Running hooks in /etc/ca-certificates/update.d...
done.

Zertifikate verschieben

  • mkdir -p /etc/ssl/mail.it1xx.int
  • mv mail.it1xx.int.crt /etc/ssl/mail.it1xx.int/
  • mv mail.it1xx.int.key /etc/ssl/mail.it1xx.int/

Berechtigungen setzen

  • chown root:root /etc/ssl/mail.it1xx.int/
  • chmod 600 /etc/ssl/mail.it1xx.int/mail.it1xx.int.key

Apache2 Konfiguration

ssl aktivieren

  • a2enmod ssl

Die Datei ergänzen

  • vi /etc/apache2/sites-available/mail.it1xx.int.conf
SSLEngine on  
SSLCertificateFile /etc/ssl/mail.it1xx.int/mail.it1xx.int.crt  
SSLCertificateKeyFile /etc/ssl/mail.it1xx.int/mail.it1xx.int.key

Postfix Konfiguration

Die Datei Parameter anpassen

  • vi /etc/postfix/main.cf
smtpd_tls_cert_file = /etc/ssl/mail.it1xx.int/mail.it1xx.int.crt  
smtpd_tls_key_file = /etc/ssl/mail.it1xx.int/mail.it1xx.int.key

Dovecot Konfiguration

Die Datei Parameter anpassen

  • vi /etc/dovecot/conf.d/10-ssl.conf
ssl_cert = </etc/ssl/mail.it1xx.int/mail.it1xx.int.crt  
ssl_key = </etc/ssl/mail.it1xx.int/mail.it1xx.int.key

Dienste neu starten

  • systemctl restart apache2
  • systemctl restart postfix
  • systemctl restart dovecot

Optional: Systemweite Einbindung der CA

Wenn Clients dem Zertifikat ebenfalls vertrauen sollen:

  • cp /etc/ssl/mail.it1xx.int/ca.crt /usr/local/share/ca-certificates/mail-it1xx-ca.crt
  • update-ca-certificates

Ergebnis

Alle Dienste verwenden dasselbe TLS-Zertifikat, das zentral verwaltet wird. Die interne CA kann optional systemweit eingebunden werden.

Abgerufen von „http://wiki.ixheim.de/index.php?title=Zentrale_Einbindung_von_TLS-Zertifikaten_für_Mail-_und_Webdienste&oldid=61411