Zentrale Einbindung eines TLS-Zertifikats für Postfix, Dovecot und Apache2

Diese Anleitung beschreibt die zentrale Einbindung eines internen TLS-Zertifikats für folgende Dienste:

- Postfix (SMTPS) - Dovecot (IMAPS) - Apache2 (HTTPS)

Verwendete Dateien

mail.it1XX.int.crt → Serverzertifikat mail.it1XX.int.key → Privater Schlüssel ca.crt → Interne CA mail.it1XX.int.csr → Optional, wird nicht benötigt

Zertifikate verschieben

mkdir -p /etc/ssl/mail.it1XX.int mv mail.it1XX.int.crt /etc/ssl/mail.it1XX.int/ mv mail.it1XX.int.key /etc/ssl/mail.it1XX.int/ mv ca.crt /etc/ssl/mail.it1XX.int/

Berechtigungen setzen

chown root:root /etc/ssl/mail.it1XX.int/* chmod 600 /etc/ssl/mail.it1XX.int/mail.it1XX.int.key

Apache2 Konfiguration

In der Datei /etc/apache2/sites-available/mail.it1XX.int.conf:

SSLEngine on SSLCertificateFile /etc/ssl/mail.it1XX.int/mail.it1XX.int.crt SSLCertificateKeyFile /etc/ssl/mail.it1XX.int/mail.it1XX.int.key SSLCACertificateFile /etc/ssl/mail.it1XX.int/ca.crt

Postfix Konfiguration

In der Datei /etc/postfix/main.cf:

smtpd_tls_cert_file = /etc/ssl/mail.it1XX.int/mail.it1XX.int.crt smtpd_tls_key_file = /etc/ssl/mail.it1XX.int/mail.it1XX.int.key smtpd_tls_CAfile = /etc/ssl/mail.it1XX.int/ca.crt

Dovecot Konfiguration

In der Datei /etc/dovecot/conf.d/10-ssl.conf:

ssl = required ssl_cert = </etc/ssl/mail.it1XX.int/mail.it1XX.int.crt ssl_key = </etc/ssl/mail.it1XX.int/mail.it1XX.int.key ssl_ca = </etc/ssl/mail.it1XX.int/ca.crt

Dienste neu starten

systemctl restart apache2 systemctl restart postfix systemctl restart dovecot

Optional: Systemweite Einbindung der CA

Wenn Clients dem Zertifikat ebenfalls vertrauen sollen:

cp /etc/ssl/mail.it1XX.int/ca.crt /usr/local/share/ca-certificates/mail-it1XX-ca.crt update-ca-certificates

Ergebnis

Alle Dienste verwenden dasselbe TLS-Zertifikat, das zentral verwaltet wird. Die interne CA kann optional systemweit eingebunden werden.