SSL-Zertifikate

Die BlueMind Server verwenden zertifikatsgesicherte Verbindungen. Es ist möglich, die bei der Installation von BlueMind erstellten Zertifikate in einer Einzelserver-Installation durch benutzerdefinierte Zertifikate zu ersetzen.

Die Admin-Konsole von BlueMind stellt 2 Verfahren zur Aktualisierung der Zertifikate zur Verfügung:

• Durch Ersetzen der Dateien (neues Zertifikat, privater Schlüssel und Zertifikat der Zertifizierungsstelle)
• Durch die Nutzung der Generierung durch Let's Encrypt

Hinweis

Die Verwaltung von Zertifikaten ist nicht spezifisch für das BlueMind Messaging-System. Die BlueMind-Teams können die Verwaltung oder Konfiguration der Zertifikate im Rahmen des Supports nicht durchführen.

Voraussetzungen

Der Nachrichtenverkehr hängt sehr stark von den Zertifikaten und ihrer guten Verwaltung ab. Zum Beispiel wird sie nicht mehr funktionieren, wenn Ihre Zertifikate ablaufen. Il est indispensable de maîtriser parfaitement leur gestion (voir le chapitre Fichiers nécessaires si besoin).

Externe URLs

Vous devez vous assurer qu'une URL externe a été définie pour le système global ou pour le domaine concerné par cette installation de certificat

info

L'ajout d'une URL externe sur un domaine est facultatif et n'est recommandé qu'en cas de configuration multi-domaines

Erforderliche Dateien

Let's Encrypt-Zertifikat

Keine Dateien erforderlich

Zertifikat nach Dateien

Um ein dateibasiertes SSL-Zertifikat einzurichten, müssen Sie über die folgenden drei Dateien verfügen:

• eine Datei mit dem neuen SSL-Zertifikat
• eine Datei mit dem privaten Schlüssel des neuen Zertifikats - der Schlüssel darf nicht passwortgeschützt sein UND muss den RSA 2048-Algorithmus oder höher verwenden.
• eine Datei mit dem Zertifikat der Zertifizierungsstelle, die das neue SSL-Zertifikat ausgestellt hat. Wenn es sich bei dieser Behörde um eine zwischengeschaltete Behörde handelt, muss das Stammzertifikat dieser Behörde an die Datei angehängt werden.

Vous devez vous assurer que les certificats correspondent à l'URL externe (external-url) de votre messagerie, sans quoi cette messagerie ne sera pas opérationnelle.

Wenn Ihr Zertifikat im P12-Format vorliegt, müssen Sie das Zertifikat und den privaten Schlüssel im PEM-Format erzeugen, indem Sie die Befehle :

openssl pkcs12  -nocerts -in cert.p12 -out privatekey.pem
openssl pkcs12 -clcerts  -nokeys -in cert.p12 -out cert.pem 

info

Achtung, Sie müssen sicherstellen, dass der CN oder ein alternativer Name des Zertifikats die externe URL des bluemind-Servers ist:

openssl x509 -noout -subject -in cert.pem

Du kannst auch den vom privaten Schlüssel verwendeten Algorithmus (RSA 2048 oder höher) mit dem Befehl :

openssl pkey -in privkey.pem -text

Les courbes elliptiques (elliptic curves) ne sont pas compatible, par exemple ed25519

Installation des Zertifikats für das globale System

• Se connecter à BlueMind en tant qu'administrateur système admin0
• Se rendre sur la page Sécurité > Modifier le certificat
• Choisir le moteur de certificat SSL : Fichiers ou Let's Encrypt

Hinweis

Das für das globale System installierte Zertifikat wird für SSL/TLS von den Protokollen SMTP, IMAP und POP verwendet.

Certificat par fichiers

• Choisir 'Fichiers' dans la liste déroulante

• Mithilfe der 3 Schaltflächen 'Datei auswählen' suchen Sie nach den entsprechenden Dateien, um sie auf den Server zu übertragen
  

• Cliquer sur 'Enregistrer' afin de téléverser les fichiers et prendre en compte le nouveau certificat

Génération Let's Encrypt

• Choisir 'Let's Encrypt' dans la liste déroulante

• Accepter les conditions en cliquant sur le bouton 'Accepter les conditions de Let's Encrypt'
  Les conditions de Let's Encrypt sont consultables en cliquant sur le lien 'Conditions de Let's Encrypt'. Sie müssen sie akzeptieren, um die Schaltfläche für die Erstellung des Zertifikats freizugeben.

• Générer le certificat pour le système global
  Saisir une adresse email valide afin de recevoir les alertes envoyées par Let's Encrypt à propos de l'expiration et/ou du renouvellement du certificat généré. Si elle n'est pas renseignée une adresse par défaut no-reply@<default-domain> sera utilisée (en cas de serveur mutualisé, un domaine par défaut doit être défini au préalable).

• Cliquer sur 'Enregistrer' pour prendre en compte le nouveau certificat

Installation des Zertifikats für eine Domäne

• Se connecter à BlueMind en tant qu'administrateur système admin0
• Gehen Sie zur Seite Gestion du système > Domaines supervisés
• Wählen Sie das betreffende Gebiet
• Cliquer sur l'onglet 'Certificat et chiffrement'
• Folgen Sie dem Verfahren zur Generierung des Zertifikats "per Dateien" oder über "Let's Encrypt"

Zertifikat erneuern

Ein geplanter Task wird das Let's Encrypt-Zertifikat automatisch erneuern 30 Tage vor Ablauf des Zertifikats wird der Erneuerungsversuch 1 Mal pro Tag unternommen. In den letzten 5 Tagen vor Ablauf wird bei weiterhin erfolglosem Erneuerungsversuch eine Warnmeldung an die im Let's Encrypt-Konfigurations eingetragene Kontakt-E-Mail-Adresse gesendet.

Es ist auch möglich, das Zertifikat manuell zu erneuern, indem Sie dem gleichen Verfahren wie bei der Generierung folgen:

• Zertifikat per Datei generieren
• Zertifikat über Let's Encrypt generieren

Weiterführende Informationen

Sehen Sie sich die BlueMind-Dokumentation an:

• Externe URLs
• Systemkonfiguration
• Domainverwaltung

Externe Links

• Grundhandbuch SSL - Sicher arbeiten in einer digitalen Welt (Quelle: certificat.fr)