Zum Hauptinhalt springen

SSL-Zertifikate

BlueMind-Server verwenden sichere, zertifikatsbasierte Verbindungen. Bei der Installation von BlueMind erzeugte Zertifikate können bei einer Einzelserver-Installation durch benutzerdefinierte Zertifikate ersetzt werden.

Die Admin-Konsole von BlueMind stellt 2 Verfahren zum Aktualisieren von Zertifikaten zur Verfügung:

  • Durch Ersetzen der Dateien (neues Zertifikat, privater Schlüssel und Zertifikat der Zertifizierungsstelle)
  • Durch die Verwendung der Generierung über Let's Encrypt
info

Die Verwaltung von Zertifikaten ist nicht spezifisch für die BlueMind-Mailbox. Die BlueMind-Teams können keine Verwaltung oder Konfiguration von Zertifikaten im Rahmen ihres Supports durchführen.

Voraussetzungen

Die Mailbox hängt sehr stark von Zertifikaten und deren ordnungsgemäßer Verwaltung ab. Sie wird beispielsweise nicht mehr funktionieren, wenn Ihre Zertifikate ablaufen. Eine perfekte Verwaltung dieser Zertifikate ist unerlässlich (siehe ggf. das Kapitel Externe Links ).

Installieren des Zertifikats

Sie müssen sicherstellen, dass für das von dieser Zertifikatsinstallation betroffene Gesamtsystem oder die Domäne eine externe URL festgelegt wurde (siehe ggf. das Kapitel Externe URLs konfigurieren).

Benötigte Dateien

Sie müssen sicherstellen, dass die Zertifikate mit der externenURL (external-url) Ihrer Mailbox übereinstimmen, da diese Mailbox ansonsten nicht funktionieren kann.

Um ein SSL-Zertifikat einrichten zu können, müssen Sie über folgende 3 Dateien verfügen:

  1. eine Datei, die das neue SSL-Zertifikat enthält
  2. eine Datei, die den privaten Schlüssel des neuen Zertifikats enthält, sie darf nicht passwortgeschützt sein
  3. eine Datei, die das Zertifikat von der Zertifizierungsstelle enthält, die das neue SSL-Zertifikat ausgestellt hat. Wenn es sich bei dieser Zertifizierungsstelle um eine Zwischenstelle handelt, muss das Stammzertifikat dieser Zertifizierungsstelle an die Datei angehängt werden.

Wenn Ihr Zertifikat im P12-Format vorliegt, müssen Sie das Zertifikat und den privaten Schlüssel im PEM-Format mit den Befehlen erzeugen:

openssl pkcs12  -nocerts -in cert.p12 -out privatekey.pem
openssl pkcs12 -clcerts  -nokeys -in cert.p12 -out cert.pem
info

Achtung, Sie müssen prüfen, ob der CN oder ein alternativer Name des Zertifikats der externen Url des bluemind-Servers entspricht. Sie können den CN mit dem nachstehenden Befehl prüfen:

openssl x509 -noout -subject -in cert.pem

Installation des Zertifikats für das globale System

  • Anmeldung bei BlueMind als Systemadministrator admin0
  • Gehen Sie auf die Seite Sicherheit > Zertifikat ändern
  • Wählen Sie "Files" aus der Dropdown-Liste
  • Mit den 3 „Durchsuchen“ Schaltflächen können Sie die entsprechenden Dateien suchen, um sie an den Server zu senden:
  • Klicken Sie auf „Speichern“, um die Dateien hochzuladen und das neue Zertifikat zu berücksichtigen.

Installation des Zertifikats für ein Domain

  • Anmeldung bei BlueMind als Systemadministrator admin0
  • Gehen Sie zur Seite Systemadministration > Überwachte Domains
  • Wählen Sie die entsprechende Domain
  • Klicken Sie auf die Registerkarte "Zertifikat und Verschlüsselung"
  • Wählen Sie "Files" aus der Dropdown-Liste
  • Mit den 3 „Durchsuchen“ Schaltflächen können Sie die entsprechenden Dateien suchen, um sie an den Server zu senden:
  • Klicken Sie auf „Speichern“, um die Dateien hochzuladen und das neue Zertifikat zu berücksichtigen.

Let's Encrypt-Generierung

  • Anmeldung bei BlueMind als Systemadministrator admin0
  • Gehen Sie auf die Seite Sicherheit > Zertifikat ändern
  • Wählen Sie "Let's Encrypt" aus der Dropdown-Liste

 Die Bedingungen annehmen

Bevor das Zertifikat erstellt werden kann, müssen Sie die Bedingungen von Let's Encrypt akzeptieren.

Wenn Sie auf die Schaltfläche klicken, werden die Bedingungen automatisch akzeptiert und eine Registerkarte geöffnet, die sie anzeigt. 

Sobald Sie die Aktion ausgeführt haben, wird die Schaltfläche zur Erzeugung des Zertifikats freigeschaltet.

Generieren des Zertifikats für das globale System

Es ist möglich, eine E-Mail-Adresse einzugeben, die von Let's Encrypt verwendet wird, um über den Ablauf des generierten Zertifikats zu informieren.

Wenn sie nicht ausgefüllt ist, wird eine Standardadresse no-reply@<default-domain> verwendet (dafür muss vorher eine Standarddomäne festgelegt werden).

Generieren des Zertifikats für eine Domain

  • Anmeldung bei BlueMind als Systemadministrator admin0
  • Gehen Sie zur Seite Systemadministration > Überwachte Domains
  • Wählen Sie die entsprechende Domain
  • Klicken Sie auf die Registerkarte "Zertifikat und Verschlüsselung"
  • Wählen Sie "Let's Encrypt" aus der Dropdown-Liste

Wiederholen Sie die Vorgänge Die Bedingungen annehmen und Generieren des Zertifikats für das globale System.

Ein Zertifikat erneuern

Eine geplante Aufgabe wird das Let's Encrypt-Zertifikat automatisch erneuern, wenn es bereits einmal erstellt wurde.

Es ist jedoch möglich, das Zertifikat manuell zu erneuern, indem Sie das gleiche Verfahren wie bei der Erstellung anwenden:

Ein Domain-Zertifikat löschen

Dies hat zur Folge, dass die Domain-Zertifikate von den Servern entfernt werden.

  • Anmeldung bei BlueMind als Systemadministrator admin0
  • Gehen Sie zur Seite Systemadministration > Überwachte Domains
  • Wählen Sie die entsprechende Domain
  • Klicken Sie auf die Registerkarte "Zertifikat und Verschlüsselung"
  • Wählen Sie "Disable" aus der Dropdown-Liste
  • Klicken Sie auf "Speichern", um die Dateien vom Server zu löschen.
info

Die Option "Disable" ist nur für eine Domain möglich, nicht für das Gesamtsystem

Letztes Update am