pop3, imap4, smtp per ssl verschlüsseln

PhilippWalter

PhilippWalter

Registered User
Hallo zusammen,
beschäftige mich jetzt seit mehreren Tagen mit der SSL Verschlüsselung und den SSL Zertifikaten.

Eckdaten:
Ich hoste mit einem V-Server (Debian4+Plesk 8.3) mit 1 IP und 10 Domains.

Ich möchtet nun für die Domains, welche jede über eine E-Mailadresse verfügen eine SSL Verschlüsselung für die Dienste pop3, imap(v4) und smtp erstellen.

Dafür habe ich ein eigenes SSL-Zertifikat erstellt und für oben genanntn Dienste angepasst, funktioniert soweit alles wunderbar.

Das Problem welches ich habe ist nun folgendes, für die Domain .aaa0.tld funktioniert das Abrufen der E-Mails mit der einmaliger Bestätigung des "eigenen" Zertifikats (Thunderbird).

Wenn ich aber nun die E-Mails für die Domains .aaa1-9.tld abrufen möchte kommt jedesmal die Meldung, dass das Zertifikat nicht zu der Domain gehört.

Das ist ja auch logisch, weil ich nur ein Zertifikat für Dienste mit einer .domain.tld anlegen kann. Aber es ist nicht zufriedenstellend, wenn nur eine Domain zertifiziert werden kann.

Würden mir zusätzliche IP-Adressen weiterhelfen? (Das wäre ja eine krasse verschwendung an IP-Adressen)
Ich habe auch schonmal von einem SSL-Proxy gehört, benutzt sowas z.B. 1und1?
Kann man sich selbe so einen SSL-Proxy erstellen?

Fragen über Fragen :-)

Bin gespannt auf eure Antworten.

Gruß Flip
 
Erstelle für jede Domain ein eigenes Zertifikat. Hierbei geht es um den Domainnamen (In diesem Falle "CommonName", CN), mit IP-Adressen hat das wenig zu tun, bzw damit lässt sich das Problem nicht lösen.
 
Für jede Domain ein Zertifikat.

Danke für Deinen Beitrag,

genau da scheint mein Problem zu liegen, SWSOFT schreibt man solle die pop3d.pem, imapd.pem und servercert.pem durch ein eigenes Zertifikat ersetzen.
Das habe ich ja auch getan, aber wie kann ich mehrere CN'S in einem Zertifikat zuweisen, wenn sich das Zertifikat auf die Dienste und nicht die Domains beziehen?

Gruß Flip
 
Für Mailserverdienste ist es nicht möglich für jede Domain ein eigenes Zertifikat zu installieren.
 
Nicht nur nicht möglich, sondern auch nicht nötig. Einfach sämtliche Mail Daemons (smtpd, pop3d, impad) an mail.foo.bar binden.
 
...hmh

und das würde konkret wie funktionieren???

Danke für eine Antwort!!!
 
Spin-Doc said:
Nicht nur nicht möglich, sondern auch nicht nötig.
Click to expand...

Einspruch - Euer Ehren ;)

Da verschiedene Ports zum Einsatz kommen, ist das freilich möglich.

Ich habe schon oft aus Gründen der Wartbarkeit großzüglig Aliaste vergeben (z.B. smtp.intern.domain.tld, imap.intern.domain.tld pop3.intern.domain.tld) und dabei die SSL/TLS-Versionen dabei mit Zertifikaten genau darfür versehen.

Das hindert natürlich niemanden daran, z.B. pop3.intern.domain.tld auf Port 993 (IMAPS) anzusprechen, falls es dieselbe Maschine ist - in diesem Fall ist derjenige aber natürlich selbst schuld.

Alternativ kann man freilich auch ein Zertifikat *.intern.domain.tld ausstellen und überall verwenden - bei selbstaufgesetzter CA kostet es ja nix :)
 
Die Anforderung ist aber nicht verschiedene Zertifikate an verschiedenen Ports, sondern verschiede Zertifikate für verschiedene TLDs auf den selben Ports. Und deshalb ist mein Einwand schon berechtigt. Wobei sich mir immer noch die Frage nach dem Sinn unterschiedlicher Certs stellt.
Warum sollte der Kunde seine Mails ausgerechnet über mail.seinedomain.de mit eigenem Cert abholen, wenn es auch über mail.hoster.de für alle Kunden geht? Und das mit einem Cert? 1und1 oder Strato machen dass doch genauso. Da holt der Kunde seine Mails auch über imap.1und1.de oder pop3.strato.de ab und nicht über mail.meinedomain.de
 
You must log in or register to reply here.
Back
Top