{"id":1058,"date":"2020-05-11T12:10:34","date_gmt":"2020-05-11T10:10:34","guid":{"rendered":"https:\/\/www.krombusch.de\/?p=1058"},"modified":"2021-11-01T12:36:21","modified_gmt":"2021-11-01T11:36:21","slug":"lets-encrypt-zertifkat-fuer-hmailserver-nutzen","status":"publish","type":"post","link":"https:\/\/www.krombusch.de\/?p=1058","title":{"rendered":"Let’s Encrypt-Zertifkat f\u00fcr HMailserver nutzen"},"content":{"rendered":"

Meine Website liegt auf einem virtuellen Server, den ich selbst verwalte. Er verwendet f\u00fcr die Verschl\u00fcsselung die kostenlosen Zertifikate von Let’s Encrypt. Da liegt es nahe, diesen Mechanismus auch f\u00fcr den Mailserver zu verwenden. Damit nicht nur die \u00dcbertragung von Webinhalten, sondern auch von Mails verschl\u00fcsselt ist.<\/p>\n

<\/p>\n

Prinzipiell stellen sich Mailserver untereinander nicht so an, wenn einer von beiden bsp. ein selbst-signiertes oder abgelaufenes Zertifikat verwendet. TLS wird dann trotzdem verwendet. Wie sollte ein Mailserver auch die Warnung: „Achtung, sie kommunizieren evt. \u00fcber eine ungesicherte Verbindung!“ selbst\u00e4ndig wegklicken? Trotzdem denke ich, dass sich da in Zukunft was \u00e4ndert. Ist ja auch sinnvoll.
\nK\u00fcrzlich habe ich f\u00fcr einen Bekannten den E-Mail-Rechnungsversand von Lexoffice (so eine Art Rechnungswesen-Cloud) zu seinem eigenen Mailserver einrichten m\u00fcssen. Lexoffice w\u00e4re ein Beispiel f\u00fcr einen Dienst, der sich nicht mit self-signed Certificates abspeisen l\u00e4sst. Mit einem offiziellen Let’s Encrypt-Zertifikat gab es dann keine Probleme mehr.<\/p>\n

Vorgehensweise der Nutzung von IIS-LE-Zertifikaten in HMail:<\/p>\n

F\u00fcr meine Domain habe ich nat\u00fcrlich einen MX-Record. Der zeigt auf denselben Server, auf dem auch der Webserver l\u00e4uft. F\u00fcr dessen virtuelle Verzeichnisse lasse ich mir automatisiert Zertifikate erzeugen. Da liegt es nahe, ein IIS-(Dummy)-Verzeichnis f\u00fcr den MX-Hostnamen anzulegen. Damit h\u00e4tten wir schon mal webserver-seitig das Zertifikat, das wir sp\u00e4ter brauchen.<\/p>\n

\"\"<\/a><\/p>\n

Dieses Zertifikat will ich nicht f\u00fcr die Webseite, sondern f\u00fcr den HMailServer nutzen. Insofern muss ich es erstmal exportieren. Dazu wird das random-Passwort ben\u00f6tigt, das der wacs-Client bei der LE-Zertifikatserneuerung auf den private key setzt. (wacs-Option „L“)<\/p>\n

 <\/p>\n

\"\"<\/a><\/p>\n

Der Export geschieht in Windows \u00fcber die Zertifikatsverwaltung. (Ausf\u00fchren –> mmc –> Zertifikatsverwaltung –> Computerkonto). Man muss im Verlauf des Exportvorgangs ein Passwort als Sicherheit setzen. Das muss nichts Besonderes sein. Wir werden die Passw\u00f6rter am Schluss sowieso entfernen.<\/p>\n

\"\"<\/a><\/p>\n

\"\"<\/a><\/p>\n

\"\"<\/a><\/p>\n

\"\"<\/a><\/p>\n

\"\"<\/a><\/p>\n

\"\"<\/a><\/p>\n

Das Zertifikat ist nun exportiert, kann aber in dieser Form noch nicht f\u00fcr den HMail-Server genutzt werden. Zur Umwandlung brauchen wir die SSL-Tools (der erste Download):<\/p>\n

https:\/\/slproweb.com\/products\/Win32OpenSSL.html<\/a><\/p>\n

Danach kommt der Dreischritt:<\/p>\n