SSL-Zertifikate

Die BlueMind Server verwenden zertifikatsgesicherte Verbindungen. Es ist möglich, die bei der Installation von BlueMind erstellten Zertifikate in einer Einzelserver-Installation durch benutzerdefinierte Zertifikate zu ersetzen.

Die Admin-Konsole von BlueMind stellt 2 Verfahren zur Aktualisierung der Zertifikate zur Verfügung:

• Durch Ersetzen der Dateien (neues Zertifikat, privater Schlüssel und Zertifikat der Zertifizierungsstelle)
• Durch die Nutzung der Generierung durch Let's Encrypt

Hinweis

Die Verwaltung von Zertifikaten ist nicht spezifisch für das BlueMind Messaging-System. Die BlueMind-Teams können die Verwaltung oder Konfiguration der Zertifikate im Rahmen des Supports nicht durchführen.

Voraussetzungen

Der Nachrichtenverkehr hängt sehr stark von den Zertifikaten und ihrer guten Verwaltung ab. Zum Beispiel wird sie nicht mehr funktionieren, wenn Ihre Zertifikate ablaufen. Es ist unerlässlich, dass Sie mit der Verwaltung dieser Dateien vertraut sind (siehe Kapitel Benötigte Dateien, falls erforderlich).

Externe URLs

Es muss sichergestellt werden, dass eine externe URL für das Gesamtsystem oder für die Domäne, die von dieser Zertifikatsinstallation betroffen ist, definiert wurde.

Weitere Informationen finden Sie unter Externe URLs.

info

Das Hinzufügen einer externen URL zu einer Domain ist optional und wird nur dann empfohlen, wenn Multi-Domain-Nachrichten

Erforderliche Dateien

Let's Encrypt-Zertifikat

Keine Dateien erforderlich

Zertifikat nach Dateien

Um ein dateibasiertes SSL-Zertifikat einzurichten, müssen Sie über die folgenden drei Dateien verfügen:

• eine Datei mit dem neuen SSL-Zertifikat
• eine Datei mit dem privaten Schlüssel des neuen Zertifikats - der Schlüssel darf nicht passwortgeschützt sein UND muss den RSA 2048-Algorithmus oder höher verwenden.
• eine Datei mit dem Zertifikat der Zertifizierungsstelle, die das neue SSL-Zertifikat ausgestellt hat. Wenn es sich bei dieser Behörde um eine zwischengeschaltete Behörde handelt, muss das Stammzertifikat dieser Behörde an die Datei angehängt werden.

Sie müssen sicherstellen, dass die Zertifikate mit der externen URL (external-url) Ihrer E-Mail übereinstimmen, da die E-Mail ansonsten nicht funktionieren wird.

Wenn Ihr Zertifikat im P12-Format vorliegt, müssen Sie das Zertifikat und den privaten Schlüssel im PEM-Format erzeugen, indem Sie die Befehle :

openssl pkcs12  -nocerts -in cert.p12 -out privatekey.pem
openssl pkcs12 -clcerts  -nokeys -in cert.p12 -out cert.pem 

info

Achtung, Sie müssen sicherstellen, dass der CN oder ein alternativer Name des Zertifikats die externe URL des bluemind-Servers ist:

openssl x509 -noout -subject -in cert.pem

Sie können auch den vom privaten Schlüssel verwendeten Algorithmus (RSA 2048 oder höher) mit dem Befehl :

openssl pkey -in privkey.pem -text

Elliptische Kurven (elliptic curves) sind nicht kompatibel, z.B. ed25519.

Installation des Zertifikats für das globale System

• Melden Sie sich bei BlueMind als Systemadministrator an admin0.
• Gehen Sie auf die Seite Sicherheit > Zertifikat ändern.
• Choisir le moteur de certificat SSL : Fichiers ou Let's Encrypt

Hinweis

Das für das globale System installierte Zertifikat wird für SSL/TLS von den Protokollen SMTP, IMAP und POP verwendet.

Certificat par fichiers

• Wählen Sie "Dateien" aus der Dropdown-Liste:
  
• Suchen Sie mit Hilfe der drei Schaltflächen "Datei wählen" nach passenden Dateien, um sie an den Server zu senden.
• Klicken Sie auf Speichern, um die Dateien hochzuladen und das neue Zertifikat zu übernehmen.

Génération Let's Encrypt

So erstellen Sie ein Zertifikat mit Let's Encrypt :

• Wählen Sie Let's Encrypt aus der Dropdown-Liste:
  
• Akzeptieren Sie die Bedingungen, indem Sie auf die entsprechende Schaltfläche klicken.

  💡 Die Geschäftsbedingungen von Let's Encrypt können durch Klicken auf den Link "Let's Encrypt Geschäftsbedingungen" eingesehen werden. Sie müssen sie akzeptieren, um die Schaltfläche für die Erstellung des Zertifikats freizugeben.

• E-Mail: Geben Sie eine gültige und aktive E-Mail-Adresse ein, um von Let's Encrypt gesendete Benachrichtigungen über den Ablauf und/oder die Erneuerung des erstellten Zertifikats zu erhalten.

  💡 Wenn keine Standardadresse angegeben ist, wird die Adresse no-reply@<default-domain> verwendet. Bei Multi-Domain-Nachrichten (Shared Server) muss eine Standarddomäne definiert werden im Voraus.

• Zusätzliche URLs: Geben Sie die Domänen an, für die das Zertifikat erstellt werden soll zusätzlich zu den externen URLs und anderen URLs, die in dem Verwaltungsblatt für jede Domäne der Installation angegeben sind.
• Klicken Sie auf "Speichern", um das neue Zertifikat zu übernehmen.

Installation des Zertifikats für eine Domäne

• Melden Sie sich bei BlueMind als Systemadministrator an admin0.
• Gehen Sie zur Seite Gestion du système > Domaines supervisés
• Wählen Sie das betreffende Gebiet
• Cliquer sur l'onglet 'Certificat et chiffrement'
• Folgen Sie dem Verfahren zur Generierung des Zertifikats "per Dateien" oder über "Let's Encrypt"

Zertifikat erneuern

Ein geplanter Task wird das Let's Encrypt-Zertifikat automatisch erneuern 30 Tage vor Ablauf des Zertifikats wird der Erneuerungsversuch 1 Mal pro Tag unternommen. In den letzten 5 Tagen vor Ablauf wird bei weiterhin erfolglosem Erneuerungsversuch eine Warnmeldung an die im Let's Encrypt-Konfigurations eingetragene Kontakt-E-Mail-Adresse gesendet.

Es ist auch möglich, das Zertifikat manuell zu erneuern, indem Sie dem gleichen Verfahren wie bei der Generierung folgen:

• Zertifikat per Datei generieren
• Zertifikat über Let's Encrypt generieren

Für weitere Informationen

Lesen Sie die BlueMind-Dokumentation in Verbindung mit

• Externe URLs
• System-Konfiguration
• Domainverwaltung

Externe Links

• Grundhandbuch SSL - Sicher arbeiten in einer digitalen Welt (Quelle: certificat.fr)