Mail-Server-Zertifikat erneuern

Linux Tags:
- zertifikat
- server

Mit Hilfe von Plesk ein neues Zertifikat erstellen (Server -> Certificates)

Zertifikat auf den Server laden

Inhalt der .pem-Datei:


-BEGIN RSA PRIVATE KEY--
...
--END RSA PRIVATE KEY
--

--BEGIN CERTIFICATE--
....
--END CERTIFICATE
--

Ersetzen Sie die vorhandenen Zertifikatsdateien durch diese neue Datei (für qmail):

cp /var/qmail/control/servercert.pem /var/qmail/control/servercert.pem.original

cp /usr/share/courier-imap/imapd.pem /usr/share/courier-imap/imapd.pem.original

cp /usr/share/courier-imap/pop3d.pem /usr/share/courier-imap/pop3d.pem.original



cp /root/zertifikat.pem /var/qmail/control/servercert.pem

cp /root/zertifikat.pem /usr/share/courier-imap/imapd.pem

cp /root/zertifikat.pem /usr/share/courier-imap/pop3d.pem

/etc/init.d/courier-imap restart

/etc/init.d/qmail restart

/etc/init.d/xinetd restart

Ab einem Neustart der Serverdienste wird das neue Zertifikat verwendet.

von:

http://faq.hosteurope.de/index.php?cpid=13655

Achtung bei den Zugriffsrechten:

-rw------- 1 root root ....
ist zu wenig!

Fehlermeldung im zB Thunderbird: "STARTTLS wird nicht unterstützt o.ä."

dabei ist es vorhanden:

telnet 127.0.0.1 25 Trying 127.0.0.1... Connected to 127.0.0.1. Escape character is '^]'. 220 xyserver ESMTP ehlo test 250-xyserver 250-STARTTLS 250-PIPELINING 250 8BITMIME quit

Wenn man von der Konsole testet, gibt es genauere Infos:

telnet 127.0.0.1 465 Trying 127.0.0.1... Connected to 127.0.0.1. Escape character is '^]'. 454 TLS missing certificate: error:0200100D:system library:fopen:Permission denied (#4.3.0) Connection closed by foreign host.

Folgende Zugriffsrechte für die Zertifikate sind ok:

-rw-r----- 1 root root .....
ist ok.

mit Rechten 600 auf dem servercert.pem:

openssl s_client -starttls smtp -crlf -connect localhost:25 CONNECTED(00000003) 1635:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:567:

mit Rechten 640 auf dem servercert.pem

openssl s_client -starttls smtp -crlf -connect localhost:25 CONNECTED(00000003) .... das zertifikat rauscht durch .... 220 xyserver ...

thx to http://qmail.jms1.net/test-auth.shtml