...
| Code Block | ||
|---|---|---|
| ||
/usr/local/ssl/certs/
|
und sollten als Namen (damit wir die Datei später auch wiedererkennen) den Namen des Servers bzw. des Eigentümers bekommen und auf .pem enden. Bei den Namen verwende ich grundsätzlich Kleinbuchstaben und ersetze Leerzeichen durch den Unterstrich '_'.
...
| Code Block | ||
|---|---|---|
| ||
...
Certificate chain
0 s:/C=DE/O=1&1 Mail & Media GmbH/OU=WEB.DE/ST=Rhineland-Palatinate/L=Montabaur/emailAddress=server-certs@1und1.de/CN=smtp.web.de
i:/C=DE/O=T-Systems International GmbH/OU=T-Systems Trust Center/ST=NRW/postalCode=57250/L=Netphen/street=Untere Industriestr. 20/CN=TeleSec ServerPass DE-1
1 s:/C=DE/O=T-Systems International GmbH/OU=T-Systems Trust Center/ST=NRW/postalCode=57250/L=Netphen/street=Untere Industriestr. 20/CN=TeleSec ServerPass DE-1
i:/C=DE/O=Deutsche Telekom AG/OU=T-TeleSec Trust Center/CN=Deutsche Telekom Root CA 2
2 s:/C=DE/O=Deutsche Telekom AG/OU=T-TeleSec Trust Center/CN=Deutsche Telekom Root CA 2
i:/C=DE/O=Deutsche Telekom AG/OU=T-TeleSec Trust Center/CN=Deutsche Telekom Root CA 2
---
Server certificate
-----BEGIN CERTIFICATE-----
MIIHUzCCBjugAwIBAgIJAKaEwtMgQ2s5MA0GCSqGSIb3DQEBBQUAMIHJMQswCQYD
...
Ulc/sMvd/LPX0f60pSQr9tkZgU4f8Jvx9EvPUCFTRXlXqkBIhgJhgCadZC+wKB1P
eQMS8rksXw==
-----END CERTIFICATE-----
|
In diesem Output finden wir die Zertifikatskette beginnend bei 0 s:/C=DE/O=1&1 Mail & Media GmbH/OU=WEB.DE/ST=Rhineland-Palatinate... - hier also 3 Elemente (0, 1 und 2) der Kette und dann das eigentliche Zertifikat des Servers smtp.web.de, eingeschlossen zwischen -----BEGIN CERTIFICATE----- und -----END CERTIFICATE----- . Diese beiden Trenner gehören jeweils mit zum Zertifikat, also mit in die .pem-Datei. Manchmal sind die Zertifikatsdaten auch gleich mit in der Kette aufgeführt – dann steht vor dem Zertifikat hinter s: (Subject) bei CN= (Common Name) der Betreff, also der Server oder Eigentümer, dem das Zertifikat gehört. Hinter i: steht dann bei CN= der Aussteller (Issuer) des Zertifikats.
...
| Code Block | ||
|---|---|---|
| ||
touch smtp.web.de.pem
|
an. Nun öffnen wir die noch leere Datei mit der Taste F4 im Editor vom <MC> und können den Inhalt aus der Zwischenablage einfügen (unter z.B. Windows mit ctrl + v) und mit F2 die Datei speichern. Falls unsere Zertifikatskette weitere Zertifikate enthält (bei smtp.web.de ist dies leider nicht der Fall), fügen wir diese – sofern noch nicht vorhanden – auf die gleiche Weise in eine .pem-Datei im Verzeichnis /usr/local/ssl/certs/ ein.
...
Mit den Suchbegriffen TeleSec ServerPass DE-1 ist der erste Treffer mit passendem Domainnamen momentan (Mitte Dezember 2013)
http://www.telesec.de/serverpass/support_rootca_akzeptanz.html
Mit den Suchbegriffen Deutsche Telekom Root CA 2 ist der erste Treffer mit passenden Domainnamen momentan (Mitte Dezember 2013)
http://www.telesec.de/pki/roots.html
Hier finden sich meist diverse Zertifikate zum Download. Man muss darauf achten, dass man genau das mit dem richtigen Namen als .pem oder ascii-kodiert herunterlädt – es gibt hier meist viele ähnlich lautende Namen, die sich nur minimal unterscheiden. Auch Namenszusätze wie z.B. G5 machen hier einen enormen Unterschied aus.
...
| Code Block | ||
|---|---|---|
| ||
cd /usr/local/ssl/certs/
/usr/bin/ssl/c_rehash
|
Nun prüfen wir, ob wir auch wirklich für die .pem-Datei des Postausgangsservers alle Zertifikate haben:
| Code Block | ||
|---|---|---|
| ||
/var/install/bin/certs-show-chain <Name des Servers>.pem
|
Wenn die Kette bis +-> end of chain! aufgelöst wird, kommt der nächste Postausgangsserver dran, ansonsten sehen wir das letzte gefundene Zertifikat, ab dem wir uns in der Kette weiterhangeln müssen. Wichtig ist immer, dass alle Zertifikatsdateien .pem heissen, in usr/local/ssl/certs/ liegen und dass wir auch nach allen Änderungen neu rehasht haben. Also die gleiche Vorgehensweise wie bei den Posteingangsservern.
...
| Code Block | ||
|---|---|---|
| ||
/var/install/bin/certs-update-crl -grepuri
|
und
| Code Block | ||
|---|---|---|
| ||
/var/install/bin/certs-update-crl -quiet
|
Beide Befehle können einige Minuten an Zeit beanspruchen (ich habe schon mal 20 Minuten gewartet) und liefern vermutlich Fehlermeldungen. Hier werden die oben schon erwähnten wenig aussagekräftigen .pem-Dateien heruntergeladen und es wird dann rehasht. Die Fehlermeldungen betreffen nur .cer-Dateien die wir nicht benötigen und können daher ignoriert werden.
...
| Code Block | ||
|---|---|---|
| ||
SMTP_SMARTHOST_x_HOST = <Servername> # -- der Postausgangsserver
SMTP_SMARTHOST_x_AUTH_TYPE = plain
SMTP_SMARTHOST_x_ADDR = <Mailadresse>
SMTP_SMARTHOST_x_DOMAIN =
SMTP_SMARTHOST_x_USER = <geheim>
SMTP_SMARTHOST_x_PASS = <auch geheim>
SMTP_SMARTHOST_x_FORCE_AUTH = no
SMTP_SMARTHOST_x_FORCE_TLS = yes # -- SSL aktivieren
SMTP_SMARTHOST_x_PORT =
|
Ich habe bei gmx.de, gmx.net, t-online.de und web.de keinen Port angeben müssen, aber dies kann bei anderen Providern durchaus abweichen.
...
| Code Block | ||
|---|---|---|
| ||
setup
4. Service administration
4. Certs Service <--- diese Nummer ist von Eurer Installation abhängig und selten identisch mit meiner...
2. Edit configuration
|
Und hier tragen wir folgende Werte ein:
| Code Block | ||
|---|---|---|
| ||
CERTS_CRL_CRON = yes
CERTS_CRL_CRON_SCHEDULE = 11 2,14 * * *
|
Wir speichern die Konfiguration mit F2, verlassen den Konfigurationseditor mit F10 und aktivieren die neue Konfiguration.
Jetzt sollte bei allen auf SSL umgestellten Konten nur noch verschlüsselt an die Postausgangsserver geschickt werden. Überprüfen können wir dies im Logfile des Mailpaketes:
| Code Block | ||
|---|---|---|
| ||
10. Goto mail tools
13. View main log file
|
Wenn hier nach (!!!) dem Versand einer Mail über ein auf SSL-Versand umgestelltes Konto keine Fehlermeldungen erscheinen (ganz nach unten scrollen) und die Mail auch beim Empfänger ankommt, hat die Umstellung geklappt.
...