TLS – Zertifikat erzeugen
TLS ist ein Zertifikat, die für vielen Bereichen Verwendung finden kann. Z.b. für verschlüsselte Webseiten oder für den verschlüsselten Email Verkehr.
Hier wird ein Zertifikat erstellt und selbst signiert. Da wir diesen später in Dovecot + Postfix einfügen, sind wir hier im der Pfadstruktur von Postfix.
Wo Ihr dieses Zertifikat erzeugt ist aber prinzipell egal.
mkdir /etc/postfix/tls cd /etc/postfix/tls |
Nun erzeugen wir einen privaten RSA Key. In einer 2048Bit Länge
openssl genrsa -out mail.key 2048 |
Als nächstes erzeugen wir eine sogannte CSR-Datei (Certificate Signing Request [engl.])
Wichtig hier ist bei der Abfrage bei: Common Name das hier hier eure korrekte Domain eintragt. z.b. webspace-for-you.de oder wenn es über eine Subdomain läuft: pop3s.webspace-for-you.de
Abhängig davon, was Ihr (eure Kunden) als Posteingangsserver / Postausgangsserver eintragen müssen.
Die Passwort-Abfrage lassen wir einfach leer. (Enter)
openssl req -new -key mail.key -out mail.csr |
You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter ‚.‘, the field will be left blank. —– Country Name (2 letter code) [AU]:DE State or Province Name (full name) [Some-State]:Brandenburg Locality Name (eg, city) []:Lübben Organization Name (eg, company) [Internet Widgits Pty Ltd]:webspace-for-you Team Organizational Unit Name (eg, section) []:webspace-for-you Team Common Name (eg, YOUR name) []:webspace-for-you.de Email Address []:info@DEINE_EMAIL_ADDY.de Please enter the following ‚extra‘ attributes |
So wie es oben beschrieben worden ist, gilt es immer. Also immer wenn Ihr ein SSL Zertifikat erstellen wollt.
Dieses Zertifikat muß aber noch signiert werden. Hier gibt es 2 Möglichkeiten:
* von ein Trust-Center z.b. PSW(kommerziell, aber ohne Fehlermeldung)
* wir selbst (Kostenfrei, aber Browser und Email-Client werden einmalig einen Fehler anzeigen)
Wir erzeugen nun einen kostenfreies lizensiertes Zertifikat, mit einer Laufzeit (Gültigkeit) von 10 Jahren.
openssl x509 -req -days 3650 -in mail.csr -out mail.cert -signkey mail.key |