SSL Zertifikate ändern - Plesk Mailserver - Seelwerk

SSL Zertifikate ändern - Plesk Mailserver - Seelwerk

Plesk

Standardmäßig generiert Plesk für alle Dienste (Webserver & Emailserver) ein selbstsigniertes Zertifikat. So sind alle Verbindungen standardmäßig verschlüsselt und können nicht durch MITM Attacken abgehört werden. Der nachteil an solchen selbstignierten SSL Zertifikaten ist, dass Sie bei jedem Verbindungsversuch eine Fehlermeldung bekommen. Da kein Browser oder Email Client Ihrem Zertifikat traut oder es gar kennt, gilt es als Potentiell gefährlich. Wir zeigen Ihnen wie Sie Ihre SSL Zertifikate ganz einfach selbst austauschen können!

Das passende SSL Zertifikat

Sollten Sie nur eine Webseite/Domain auf Ihrer Plesk Umgebung hosten, reicht oftmals ein einfaches SSL Zertifikat für den Mailserver. Möchten Sie allerdings Ihre Webseite, Ihren Mailserver und eventuell weitere Subdomains mit einem SSL Zertifikat sichern, sollten Sie sich ein Wildcard SSL Zertifikat kaufen. Dieses können Sie kostengünstig bei uns erwerben.

Hosten Sie allerdings mehrere Webseiten (z.B. Kundenprojekte) auf Ihrer Plesk Umgebung, lohnt es sich ein Multidomain SSL Zertifikat zu kaufen. Mit diesem Zertifikat können Sie verschiedene Domains (z.B. www.domain1.de; www.kundendomain.de; www.kundenportal.de,… etc.), mithilfe eines Zertifikates, absichern!

Das Zertifikats .PEM File

Nachdem Sie nun ein Zertifikat bestellt und erhalten haben, müssen Sie dieses für Ihren Mailserver vorbereiten. Erstellen Sie dazu eine neue Datei serverzertifikat.pem. Diese Datei muss folgende Textblöcke beinhalten:

-----BEGIN RSA PRIVATE KEY-----
...(Ihr Privater Schlüssel)...
-----END RSA PRIVATE KEY-----
-----BEGIN CERTIFICATE-----
...(Ihr SSL Zertifikate)...
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
...(Ihr CA-Intermediate Zertifikat)...
-----END CERTIFICATE-----

Sie sollten am Ende Ihrer .pem Datei, alle Intermediate Zertifikate einfügen, welche Sie zur Verfügung haben (Intermediate Zertifikat, Root Zertifikat,..). So verhindern Sie mögliche Fehlermeldungen. Kopieren Sie Ihr Zertifikat auf Ihren Server (z.B. /root/serverzertifikat.pem).

Installation Ihres Zertifikates

Mailserver: QMail und Courier

Sollten Sie QMail und Courier als Mailserver einsetzen, folgen Sie bitte diesem Abschnitt weiter. Zuallererst legen Sie eine Kopie aller Originaler Zertifikate an. So können Sie bei einem Fehlerfall, den originalen Zustand wiederherstellen.

cp /var/qmail/control/servercert.pem /var/qmail/control/servercert.pem.backup
cp /usr/share/courier-imap/imapd.pem /usr/share/courier-imap/imapd.pem.backup
cp /usr/share/courier-imap/pop3d.pem /usr/share/courier-imap/pop3d.pem.backup
cp /usr/share/imapd.pem /usr/share/imapd.pem.backup
cp /usr/share/pop3d.pem /usr/share/pop3d.pem.backup

Nachdem Sie nun alle alten Zertifikate gesichert haben, können Sie das neue Zertifikat installieren. Achten Sie dabei, dass der Pfad zu Ihrem SSL Zertifikat korrekt ist. In diesem Fall liegt das Zertifikat hier: /root/serverzertifikat.pem

cat /root/serverzertifikat.pem > /var/qmail/control/servercert.pem
cat /root/serverzertifikat.pem > /usr/share/courier-imap/imapd.pem
cat /root/serverzertifikat.pem > /usr/share/courier-imap/pop3d.pem
cat /root/serverzertifikat.pem > /usr/share/imapd.pem
cat /root/serverzertifikat.pem > /usr/share/pop3d.pem

Nachdem Sie nun Ihr neues Zertifikat installiert haben, müssen Sie Ihren Mailserver neustarten:

/etc/init.d/courier-imap restart
/etc/init.d/courier-imaps restart
/etc/init.d/qmail restart
/etc/init.d/xinetd restart

Nun können Sie mit Ihrem Emailprogramm die Verbindung zu Ihrem Mailserver herstellen. Achten Sie darauf, das die SSL Verschlüsselung aktiviert ist.

Mailserver: Postfix und Courier

Sollten Sie Postfix und Courier als Mailserver einsetzen, folgen Sie bitte diesem Abschnitt weiter. Zuallererst legen Sie eine Kopie aller Originaler Zertifikate an. So können Sie bei einem Fehlerfall, den originalen Zustand wiederherstellen.

cp /etc/postfix/postfix_default.pem /etc/postfix/postfix_default.pem.backup
cp /usr/share/courier-imap/imapd.pem /usr/share/courier-imap/imapd.pem.backup
cp /usr/share/courier-imap/pop3d.pem /usr/share/courier-imap/pop3d.pem.backup
cp /usr/share/imapd.pem /usr/share/imapd.pem.backup
cp /usr/share/pop3d.pem /usr/share/pop3d.pem.backup

Nachdem Sie nun alle alten Zertifikate gesichert haben, können Sie das neue Zertifikat installieren. Achten Sie dabei, dass der Pfad zu Ihrem SSL Zertifikat korrekt ist. In diesem Fall liegt das Zertifikat hier: /root/serverzertifikat.pem

cat /root/serverzertifikat.pem > /etc/postfix/postfix_default.pem
cat /root/serverzertifikat.pem > /usr/share/courier-imap/imapd.pem
cat /root/serverzertifikat.pem > /usr/share/courier-imap/pop3d.pem
cat /root/serverzertifikat.pem > /usr/share/imapd.pem
cat /root/serverzertifikat.pem > /usr/share/pop3d.pem

Nachdem Sie nun Ihr neues Zertifikat installiert haben, müssen Sie Ihren Mailserver neustarten:

/etc/init.d/courier-imap restart
/etc/init.d/courier-imaps restart
/etc/init.d/postfix restart
/etc/init.d/xinetd restart

Nun können Sie mit Ihrem Emailprogramm die Verbindung zu Ihrem Mailserver herstellen. Achten Sie darauf, das die SSL Verschlüsselung aktiviert ist.

Mailserver: Postfix und Dovecot

Sollten Sie Postfix und Dovecot als Mailserver einsetzen, folgen Sie bitte diesem Abschnitt weiter. Zuallererst legen Sie eine Kopie aller Originaler Zertifikate an. So können Sie bei einem Fehlerfall, den originalen Zustand wiederherstellen.

cp /etc/postfix/postfix_default.pem /etc/postfix/postfix_default.pem.backup
cp /etc/dovecot/private/ssl-cert-and-key.pem /etc/dovecot/private/ssl-cert-and-key.pem.backup

Nachdem Sie nun alle alten Zertifikate gesichert haben, können Sie das neue Zertifikat installieren. Achten Sie dabei, dass der Pfad zu Ihrem SSL Zertifikat korrekt ist. In diesem Fall liegt das Zertifikat hier: /root/serverzertifikat.pem

cat /root/serverzertifikat.pem > /etc/postfix/postfix_default.pem
cat /root/serverzertifikat.pem > /etc/dovecot/private/ssl-cert-and-key.pem

Nachdem Sie nun Ihr neues Zertifikat installiert haben, müssen Sie Ihren Mailserver neustarten:

/etc/init.d/dovecot restart
/etc/init.d/postfix restart
/etc/init.d/xinetd restart

Nun können Sie mit Ihrem Emailprogramm die Verbindung zu Ihrem Mailserver herstellen. Achten Sie darauf, das die SSL Verschlüsselung aktiviert ist.

Abschluss

Sollten Sie bei der Bestellung oder bei der Einrichtung Ihres SSL Zertifikates Probleme haben, kontaktieren Sie uns! Wir unterstützen Sie gerne.

Seelwerk ist eine Full Service Internetagentur aus Fürstenfeldbruck. Von der Erstellung Ihrer eigenen Internetpräsenz, über die Entwicklung professioneller Individualsoftware bis hin zu Security Consulting und Notfallservice. Bei uns bekommen Sie alles aus einer Hand.