SSL Mail Zertifikate je Domain

M

Mark725

New Member
Habe mir eigene Zertifikate angelegt für die SSL Verbindung zwischen Outlook und dem qmail bzw. courier-imap Servern.
Das klappt soweit auch sehr gut. Die Zertifikate müssen jedoch auf eine spezielle Domain ausgelegt sein.
Da ich mehrere Domains verwalte stellt sich mir nun die Frage, wie ich verschiedene Zertifikate für verschiede Domains einrichte. Mir ist derzeit nur bekannt, dass ich global ein Zertifikat einrichten kann? (eigentlich 3: imapd.pem, pop3d.pem und servercert.pem, aber das tut ja nix zur Sache)

Wie kann man das angehen sowas auf die vorhandenen Domains aufzuteilen?
 
Das Problem ist, dass der Mailserver bis zum Login überhaupt garnicht weiß, um welche Domain es geht. Und dann ist es ja schon zu spät ;)

Man braucht dafür wie bei HTTP mehrere IP-Adressen auf dem Server und muss dann anhand der genutzten Adresse unterscheiden.

Es gibt auch Wildcard-Zertifikate, die funktionieren aber meines Wissens nur für Subdomains.
 
Es gehen auch Multi-Domain-Zertifikate (mit alternativen Inhabernamen).
Allerdings ist auch nichts dabei, dem Domainkunden statt "imap.kundendomain.de" "imap.generischedomain.de" zu sagen und dafür ein Zertifikat auszustellen. Da nur der Domaininhaber selbst (und nicht seine Kunden) diesen Namen kennen müssen, ist Branding dort bei weitem nicht so wichtig wie bei www.
 
Bei den ersten anläufen zur Einrichtung der Zertifikate hatte ich die Domain nicht gleich der Pop3 bzw. SMTP Serverbezeichnung eingegeben. Das funktioniert schon - aber mit Problemen. Outlook meldet dann Fehler die man bei jedem Start bestätigen muss. Das ist sehr ärgerlich. Solange man nur eine Domain mit Postfächern für SSL hat geht das ja ohne Probleme. Bei mehreren Domains wirds dann echt haarig.

Wie sich das in Outlook darstellt sieht man unter folgenden Link:
http://johannes.jarolim.com/blog/2009/11/15/selbstsignierte-zertifikate-fuer-outlook-2007-unter-vista-importieren/

Im Net hab ich zwar gefunden, wie man diese Meldung auch unterdrücken kann per Rumfuschen in der REG, aber wenn man Kunden hat ist das natürlich nicht zielführend.
 
Das Problem mit den Self-Signed Certificates kannst du ganz leicht und kostenlos umgehen:
www.startssl.com

Da habe ich mir auch ein SSL-Zertifikat für mail.domain.tld erstellen lassen. Kostet nichts, aber die Zertifikate sind halt "vertrauenswürdig" für die Clients, die dann nicht mehr rummeckern.
 
You must log in or register to reply here.
Back
Top