Mailserver: SSL Zertifikat für Domain installieren

[Stylewriter]

Hallo,

beim Abfragen meiner E-Mail Adressen, werde ich immer gefragt, ob ich dem Zertifikat vertrauen möchte. Dies würde ich gerne loswerden
Habe hier im Forum jetzt soviel erfahren, dass ich die SSL-Zertifikate neu erstellen bzw. anpassen muss.
Hierfür habe ich ein Root-Zertifikat erstellt, dann ein CSR und habe dieses dann mit dem Root-Zertifikat selbst-signiert (nach dieser Anleitung)
Diese Zertifikate liegen nun unter /home/username/CA/
Allerdings weiß ich nun nicht weiter, wie ich diese für die Domain domain1.tld installieren kann.
Den Vorgang möchte ich wiederholen und für alle meine Domains (domain2.tld, domain3.tld) ein eigenes Zertifikat erstellen und installieren, damit ich nicht mehr beim Abfragen der E-Mails gefragt werde, ob ich dem Zertifikat vertrauen möchte.

Ich habe einen vServer mit ubuntu hardy mit plesk8.

Über Hilfe würde ich mich sehr freuen!

Viele Grüße,

Joern

 

[Deleted member 4401]

Kann dir jetzt zwar nicht direkt mit dem Setup helfen, aber ich muss dich darauf hinweisen dass SSL Zertifikate nicht nach Domain Namen ausgestellt werden sondern nach der IP, d.h. pro IP nur 1 Zertifikat. Wenn sich die IP zu mehreren Domains auflöst (vhosts) gilt das Zertifikat nur für die eine Domain. Kann man zwar umgehen (das gleiche Zertifikat für mehrere Domains benutzen), jedoch nicht ohne jedes Mal beim Verbinden eine Warnung über das nicht zur Domain passende Zertifikat zu erhalten.

 

[Whistler]

Wobei man noch dazusagen sollte, daß das Mail-Zertifikat nicht zwingend mit dem Web-Zertifikat identisch sein muß - es sind ja unterschiedliche Ports.

Ich verwende gerne Zertifikate "mail.kundendomain.de" - das gibt einem die Freiheit, bei wachsendem Verkehr den Mailserver vom Webserver zu trennen, ohne alle Clienten anpassen zu müssen. Und falls man sowieso selbstsignierte Zertifikate verwendet, kostet es ja nix.

Um die Warnung wegzukriegen, muß man das Zertifikat einmal im Mail-Clienten unter Einstellungen/Sicherheit/Zertifikate importieren und als vertrauenswürdig kennzeichnen.

Für den Webserver kann man dann ein anderes Zertifikat ausstellen, welches dann domain1/2/3 jeweils als SubjectAlternateName beinhaltet.

 

[Stylewriter]

Vielen Dank für eure Hilfe!
Ich habe es nun so gelöst, dass ich einen globalen Namen als CN angegeben habe. Also mail.domain.tld und habe den Posteingangs- und Postausgangsserver jedes E-Mail Kontos auf diesen geändert. Nach einmaligen "Vertrauen" des Zertifikates bekomme ich nun keine Warnmeldung mehr.