SSL-Zertifikate
BlueMind-Server verwenden sichere, zertifikatsbasierte Verbindungen. Bei der Installation von BlueMind erzeugte Zertifikate können bei einer Einzelserver-Installation durch benutzerdefinierte Zertifikate ersetzt werden.
Die Admin-Konsole von BlueMind stellt 2 Verfahren zum Aktualisieren von Zertifikaten zur Verfügung:
- Durch Ersetzen der Dateien (neues Zertifikat, privater Schlüssel und Zertifikat der Zertifizierungsstelle)
- Durch die Verwendung der Generierung über Let's Encrypt
Die Verwaltung von Zertifikaten ist nicht spezifisch für die BlueMind-Mailbox. Die BlueMind-Teams können keine Verwaltung oder Konfiguration von Zertifikaten im Rahmen ihres Supports durchführen.
Voraussetzungen
Die Mailbox hängt sehr stark von Zertifikaten und deren ordnungsgemäßer Verwaltung ab. Sie wird beispielsweise nicht mehr funktionieren, wenn Ihre Zertifikate ablaufen. Eine perfekte Verwaltung dieser Zertifikate ist unerlässlich (siehe ggf. das Kapitel Externe Links ).
Installieren des Zertifikats
Sie müssen sicherstellen, dass für das von dieser Zertifikatsinstallation betroffene Gesamtsystem oder die Domäne eine externe URL festgelegt wurde (siehe ggf. das Kapitel Externe URLs konfigurieren).
Benötigte Dateien
Sie müssen sicherstellen, dass die Zertifikate mit der externenURL (external-url) Ihrer Mailbox übereinstimmen, da diese Mailbox ansonsten nicht funktionieren kann.
Um ein SSL-Zertifikat einrichten zu können, müssen Sie über folgende 3 Dateien verfügen:
- eine Datei, die das neue SSL-Zertifikat enthält
- eine Datei, die den privaten Schlüssel des neuen Zertifikats enthält, sie darf nicht passwortgeschützt sein
- eine Datei, die das Zertifikat von der Zertifizierungsstelle enthält, die das neue SSL-Zertifikat ausgestellt hat. Wenn es sich bei dieser Zertifizierungsstelle um eine Zwischenstelle handelt, muss das Stammzertifikat dieser Zertifizierungsstelle an die Datei angehängt werden.
Wenn Ihr Zertifikat im P12-Format vorliegt, müssen Sie das Zertifikat und den privaten Schlüssel im PEM-Format mit den Befehlen erzeugen:
openssl pkcs12 -nocerts -in cert.p12 -out privatekey.pem
openssl pkcs12 -clcerts -nokeys -in cert.p12 -out cert.pem
Achtung, Sie müssen prüfen, ob der CN oder ein alternativer Name des Zertifikats der externen Url des bluemind-Servers entspricht. Sie können den CN mit dem nachstehenden Befehl prüfen:
openssl x509 -noout -subject -in cert.pem
Installation des Zertifikats für das globale System
- Anmeldung bei BlueMind als Systemadministrator admin0
- Gehen Sie auf die Seite Sicherheit > Zertifikat ändern
- Wählen Sie "Files" aus der Dropdown-Liste
- Mit den 3 „Durchsuchen“ Schaltflächen können Sie die entsprechenden Dateien suchen, um sie an den Server zu senden:
- Klicken Sie auf „Speichern“, um die Dateien hochzuladen und das neue Zertifikat zu berücksichtigen.
Installation des Zertifikats für ein Domain
- Anmeldung bei BlueMind als Systemadministrator admin0
- Gehen Sie zur Seite Systemadministration > Überwachte Domains
- Wählen Sie die entsprechende Domain
- Klicken Sie auf die Registerkarte "Zertifikat und Verschlüsselung"
- Wählen Sie "Files" aus der Dropdown-Liste
- Mit den 3 „Durchsuchen“ Schaltflächen können Sie die entsprechenden Dateien suchen, um sie an den Server zu senden:
- Klicken Sie auf „Speichern“, um die Dateien hochzuladen und das neue Zertifikat zu berücksichtigen.
Let's Encrypt-Generierung
- Anmeldung bei BlueMind als Systemadministrator admin0
- Gehen Sie auf die Seite Sicherheit > Zertifikat ändern
- Wählen Sie "Let's Encrypt" aus der Dropdown-Liste
Die Bedingungen annehmen
Bevor das Zertifikat erstellt werden kann, müssen Sie die Bedingungen von Let's Encrypt akzeptieren.
Wenn Sie auf die Schaltfläche klicken, werden die Bedingungen automatisch akzeptiert und eine Registerkarte geöffnet, die sie anzeigt.
Sobald Sie die Aktion ausgeführt haben, wird die Schaltfläche zur Erzeugung des Zertifikats freigeschaltet.
Generieren des Zertifikats für das globale System
Es ist möglich, eine E-Mail-Adresse einzugeben, die von Let's Encrypt verwendet wird, um über den Ablauf des generierten Zertifikats zu informieren.
Wenn sie nicht ausgefüllt ist, wird eine Standardadresse no-reply@<default-domain> verwendet (dafür muss vorher eine Standarddomäne festgelegt werden).
Generieren des Zertifikats für eine Domain
- Anmeldung bei BlueMind als Systemadministrator admin0
- Gehen Sie zur Seite Systemadministration > Überwachte Domains
- Wählen Sie die entsprechende Domain
- Klicken Sie auf die Registerkarte "Zertifikat und Verschlüsselung"
- Wählen Sie "Let's Encrypt" aus der Dropdown-Liste
Wiederholen Sie die Vorgänge Die Bedingungen annehmen und Generieren des Zertifikats für das globale System.
Ein Zertifikat erneuern
Eine geplante Aufgabe wird das Let's Encrypt-Zertifikat automatisch erneuern, wenn es bereits einmal erstellt wurde.
Es ist jedoch möglich, das Zertifikat manuell zu erneuern, indem Sie das gleiche Verfahren wie bei der Erstellung anwenden:
Ein Domain-Zertifikat löschen
Dies hat zur Folge, dass die Domain-Zertifikate von den Servern entfernt werden.
- Anmeldung bei BlueMind als Systemadministrator admin0
- Gehen Sie zur Seite Systemadministration > Überwachte Domains
- Wählen Sie die entsprechende Domain
- Klicken Sie auf die Registerkarte "Zertifikat und Verschlüsselung"
- Wählen Sie "Disable" aus der Dropdown-Liste
- Klicken Sie auf "Speichern", um die Dateien vom Server zu löschen.
Die Option "Disable" ist nur für eine Domain möglich, nicht für das Gesamtsystem
Externe Links
- SSL & TLS: Ein Leitfaden für Anfänger, um alles über Zertifikate zu erfahren: https://www.isicca.com/fr/certificat-ssl-tls-guide-debutant/