Postfix und Dovecot selbstsignierte SSL Zertifikate erstellen

Ein Jahr ist um und ich hab mir immer noch kein vernünftiges Zertifikat zugelegt, also müssen wohl wieder die selbstsignierten Certs herhalten. Damit ich bis zum nächsten mal nicht wieder vergesse, was ich getan habe, hab ich das ganze mal in diesem Artikel zusammengefasst.

Die Zertifikate und Keys erstellt man mit folgenden Befehlen:

# openssl req -new -x509 -days 365 -nodes -out /etc/ssl/certs/postfix.pem -keyout /etc/ssl/private/postfix.pem
# openssl req -new -x509 -days 365 -nodes -out /etc/ssl/certs/dovecot.pem -keyout /etc/ssl/private/dovecot.pem

Zur Sicherheit setzen wir noch die Berechtigungen der Keys neu:

# chmod o= /etc/ssl/private/postfix.pem
# chmod o= /etc/ssl/private/dovecot.pem

Danach noch beide Dienste neu starten und alles sollte wieder so laufen wie gewohnt.

Naja... fast. Mein lokales fetchmail meckerte aufgrund der unbekannten Zertifikate rum, also musste ich da auch nochmal Hand anlegen.

Mit dem Befehl:

$ openssl s_client -connect your.server.tld:PORT

verbindet man sich auf den POP3 bzw. IMAP Port seines Servers und kopiert das Zertifikat (den Zeichensalat zwischen "—–BEGIN CERTIFICATE—–" und "—–END CERTIFICATE—–") in eine Textdatei die man in seinem Zertifikateverzeichnis (z.B. "/etc/ssl/certs/") speichert.

Danach noch

# c_rehash /path/to/the/certs

ausführen und das Zertifikat wurde erfolgreich geupdatet.

Die neuen Zertifikate sind für ein weiteres Jahr gültig. Die Gültigkeitsdauer kann über den "-days" Parameter von "openssl req" verändert werden.

Wer Fragen oder Anregungen hat kann diese wie gehabt per Kommentar oder Mail an mich kundtun.

Quellen:

https://workaround.org/ispmail/squeeze/ssl-certificates

http://geekmush.wordpress.com/2007/06/29/


2014-05-31 10:00 dovecot email linux mail openssl postfix ssl