Thunderbird-Fehlermeldung bei abruf von Email via SSL

D

Dawn

Registered User
Guten Abend,

Mein Server funzt wirklich prima nur ein kleines Detail kriege ich nicht hin: Beim abrufen der Mails via SSL erscheint jedes Mal eine Fehlermeldung von Thunderbird das mein Zertifikat (welches ich vorher akzeptiert habe) nicht gültig sei (das Standard Plesk Zertifikat wird verwendet). Es sei auf "localhost" ausgestellt. Ich nutze für den gleichen Domain aber ein SSL Zertifikat www.domain.com, was auch problemlos funktioniert. Wo kann ich das Zertifikat einstellen welches der Domain für den Mailserver verwendet? Und wie erstelle ich ein gültiges (self-signed ist absolut ok) eigenes Zertifikat?

Gruss,
Dawn
 

Attachments

  • sicherheitsfehlerih0.gif
    sicherheitsfehlerih0.gif
    10.6 KB · Views: 188
Last edited by a moderator:
HI,

da Du im PLESK Forum schreibst gehe ich mal davon aus Du nutzt PLESK & QMAIL & courier-imap

Dann such mal nach:

/usr/share/courier-imap

pop3d.pem
imap.pem

Danach /etc/init.d/qmail restart

In diesen musst Du Dein ZERT & Private KEy drin haben, dasselbe was Du auch beim HTTP SSL nutzt.

Bierteufel
 
Besten Dank für deine Antwort :)

Ich hab nur das Problem das mein Zertifikat auf www.domain.com lautet und nicht auf domain.com. Ich habe dann die Mails dann schon von www.domain.com versucht abzurufen, aber das hat natürlich nicht funktioniert. Das Ersetzen an und für sich hat aber problemlos funktioniert.

Wie generiere ich ein gültiges Zertifkat für domain.com welches ich für IMAPS und POPS verwenden kann? Wäre echt nett wenn du mir schnell ein Beispiel posten könntest. So wird das 1. Mal sicher eine Warnung dargestellt (ist ja kein "offizielles"), aber wenn ich dann das Zertifikat akzeptiere dann solten ja keine Fehlermeldungen mehr erscheinen.

Gruss,
Dawn
 
Last edited by a moderator:
1. Nimm ein von einer CA authorisiertes Zertifikat bzw. trag Dein selbst erstelltetes Zertifikat als verlässlich bei Dir ein
2. Der Mail Client checkt gegen den Server das Zertifikat und den DARIN verschlüsselt eingetragenen Server Namen


Code: 
openssl genrsa -des3 -out domainname.de.key 1024
openssl genrsa -out domainname.de.key 1024 
openssl req -new -key domainname.de.key -out domainname.de.csr

Wenn Dein CERT für www.domain.com über http abrufbar ist und von einer CA stammt welcher der Browser als vertrauenswürdig einstuft. Du auch die oben beschriebenen Dateien mit Deinem CERT versorgt hast, sollte es auch mit dem Mail Client & Abruf funktionieren.
 
Ich habe inzwischen herausgefunden wie man für secure pop3 und secure imap ein Zertifikat generiert:

Code: 
openssl req -new -x509 -nodes -out pop3d.pem -keyout pop3d.pem -days 365

und

Code: 
openssl req -new -x509 -nodes -out imapd.pem -keyout imapd.pem -days 365

Und unter Common name dann den Domainname. Funzt prima :)

Jetzt fehlt eigentlich nur noch die Datei für secure smtp. Ich habe gesehen das diese nicht im gleichen Verzeichnis ist. Wo finde ich sie?

Gruss,
Dawn
 
Im Verzeichnis /var/qmail/control befinden sich einige Dateien .pem, welches dabei als default Zertifikat dient weiss ich jedoch nicht, kannst du vielleicht mal bei dir nachschauen?

Ich habe dein Beispiel erst nach dem lesen meines Eintrags gesehen. Verstehe ich dich richtig: Es ist möglich wenn ich ein (offizielles durch den Browser erkanntes) Zertifikat für www.domain.com habe, dieses Zertifkat für den Mailverstand über domain.com zu verwenden? Ich habe dein Beispiel nicht ganz verstanden, im Endeffekt sollte ich ja eine .pem Datei haben.

Was ich ausserdem fragen wollte: Man nutzt ja mit Plesk nicht nur einen Domain sondern mehrere, wie ist es denn möglich das jeder Domain das entsprechende Zertifikat erhält (für Ein-/Ausgang der Mails bzw. POPS, IMAPS und SMTPS)?

Gruss,
Dawn
 
Hi,

also das ganze ist wirklich ganz einfach.

1. Ein SSL Zertifikat bestätigt ja nur die Echtheit des Domainnamens (bzw. des dahinter liegenden Servers)
2. Ja es ist möglich das Zertifikat welches Du für den WWW Zugriff nutzt (Bestätigt ja auch nur den Domainnamen), auch für Mail etc. zu nutzen
3. Du baust Dein SSL Zertifikat in den Apachen ein (beachte ein ZERT für eine IP & DOMAIN, es sei denn Du hast ein Wildcard *.DeineDomain.tld Zertifikat) -> Damit funzt ja dann der HTTPS Zugriff

4. Nun zum Thema E-Mail

4.1 Du holst Dir ein Zertifikat (Trust, etc.) für die Domain z.B. ssl.deinedoman.de
4.2 Du baust das Zertifikat in eine PEM Datei (PEM Datei besteht aus Private KEY & Zertifikat)
4.3 baust es in

/usr/share/courier-imap

pop3d.pem
imap.pem

&

/var/qmail/control

servercert.pem

ein.

(dann Dienste neu starten)

4.4 Bei Dir und evtl. Deinen Kunden verwendest Du dann bei SSL verschlüsselung im MailClient immer Deine o.g. Domain (ssl.DeineDomain.tld)

Gruß Bierteufel

P.S. Ich hab auch ewig gebraucht eh ich es genau wusste wo was hingehört ;-)
 
Last edited by a moderator:
You must log in or register to reply here.
Back
Top