Zentrale Einbindung eines TLS-Zertifikats für Postfix, Dovecot und Apache2

Diese Anleitung beschreibt die zentrale Einbindung eines internen TLS-Zertifikats für folgende Dienste:

Postfix (SMTPS)

Dovecot (IMAPS)

Apache2 (HTTPS)

Verwendete Dateien

mail.it1XX.int.crt       → Serverzertifikat  
mail.it1XX.int.key       → Privater Schlüssel  
ca.crt                   → Interne CA  
mail.it1XX.int.csr       → Optional, wird nicht benötigt

Zertifikate verschieben

• mkdir -p /etc/ssl/mail.it1XX.int
• mv mail.it1XX.int.crt /etc/ssl/mail.it1XX.int/
• mv mail.it1XX.int.key /etc/ssl/mail.it1XX.int/
• mv ca.crt /etc/ssl/mail.it1XX.int/

Berechtigungen setzen

• chown root:root /etc/ssl/mail.it1XX.int/*
• chmod 600 /etc/ssl/mail.it1XX.int/mail.it1XX.int.key

Apache2 Konfiguration

Die Datei ergänzen

• vi /etc/apache2/sites-available/mail.it1XX.int.conf

SSLEngine on  
SSLCertificateFile /etc/ssl/mail.it1XX.int/mail.it1XX.int.crt  
SSLCertificateKeyFile /etc/ssl/mail.it1XX.int/mail.it1XX.int.key  
SSLCACertificateFile /etc/ssl/mail.it1XX.int/ca.crt

Postfix Konfiguration

Die Datei ergänzen

• vi /etc/postfix/main.cf:

smtpd_tls_cert_file = /etc/ssl/mail.it1XX.int/mail.it1XX.int.crt  
smtpd_tls_key_file = /etc/ssl/mail.it1XX.int/mail.it1XX.int.key  
smtpd_tls_CAfile = /etc/ssl/mail.it1XX.int/ca.crt

Dovecot Konfiguration

Die Datei ergänzen

• vi /etc/dovecot/conf.d/10-ssl.conf:

ssl = required  
ssl_cert = </etc/ssl/mail.it1XX.int/mail.it1XX.int.crt  
ssl_key = </etc/ssl/mail.it1XX.int/mail.it1XX.int.key  
ssl_ca = </etc/ssl/mail.it1XX.int/ca.crt

Dienste neu starten

• systemctl restart apache2
• systemctl restart postfix
• systemctl restart dovecot

Optional: Systemweite Einbindung der CA

Wenn Clients dem Zertifikat ebenfalls vertrauen sollen:

• cp /etc/ssl/mail.it1XX.int/ca.crt /usr/local/share/ca-certificates/mail-it1XX-ca.crt
• update-ca-certificates

Ergebnis

Alle Dienste verwenden dasselbe TLS-Zertifikat, das zentral verwaltet wird. Die interne CA kann optional systemweit eingebunden werden.