Dovecot

Aus SSLplus
Zur Navigation springen Zur Suche springen

Einrichtung von SSL für den Dovecot IMAP/POP3 Server

Erzeugen des CSR

Für die Anforderung eines SSL Zertifikates ist es notwendig einen CSR (Certificate Signing Request/Zertifikatsanforderung) zu erzeugen.

Die kann per SSH oder über eine direkt Konsole auf dem Server erfolgen:

<source lang=bash> openssl req -new -newkey rsa:2048 -keyout /etc/ssl/private/domain.de.key -out /home/user/csr.txt -nodes -sha256 </source>

Besitzt man bereits ein Schlüsselpaar kann der CSR auch folgender Maßen erzeugt werden:

<source lang=bash> openssl req -new -key /etc/ssl/private/domain.de.key -out /home/user/csr.txt </source>

Anpassen der Konfiguration

Je nach Distribution sind die Konfigurationsdateien etwas anders Strukturiert. So werden bei Debian 7.x und Dovecot 2.x die Dateien unterhalb von /etc/dovecot/conf.d in verschiedenen Dateien gepflegt.

Die Parameter sind jedoch, egal in welcher Datei Sie schlussendlich zu finden sind, die gleichen.

<source lang=bash>

  1. SSL/TLS supportan bzw. abschalten

ssl = yes

  1. Pfade zum Zertifikat und Privatekey

ssl_cert = </etc/ssl/certs/domain.de.crt ssl_key = </etc/ssl/private/domain.de.key


  1. Mit diesem Parameter kann ein Passwort übergeben werden, falls der Privatekey
  2. verschluesselt wurde. Da diese Datei oft fuer alle lesbar ist, kann mit
  3. <Pfad_zu_passwort_datei eine Datei angegeben werden, die nur fur root lesbar ist.
  4. ssl_key_password =
  1. PEM encoded trusted certificate authority. Set this only if you intend to use
  2. ssl_verify_client_cert=yes. The file should contain the CA certificate(s)
  3. followed by the matching CRL(s). (e.g. ssl_ca = </etc/ssl/certs/ca.pem)
  1. Pfad zu den Intermediate Zertifikaten, die das Serverzertifikat
  2. signieren.

ssl_ca = </etc/ssl/certs/INT_CA_chain.crt

  1. dieser Parameter verlangt eine erfolgreiche Pruefung von CR Listen fuer Client Zertifikate
  2. ssl_require_crl = yes
  1. Mit diesem Parameter kann bei Clients ein Zertifikat angefordert werden.
  2. Der Parameter auth_ssl_require_client_cert=yes erzwingt eine Verifizierung
  3. dieses Zertifikates
  4. ssl_verify_client_cert = no
  1. Angabe welches Zertifikatsfeld den Nutzernamen enthalten soll.
  2. Ueblicher Weise sind dies der commonName und x500UniqueIdentifier
  3. Man sollte auch den folgenden Parameter setzen:
  4. auth_ssl_username_from_cert=yes.
  5. ssl_cert_username_field = commonName
  1. How often to regenerate the SSL parameters file. Generation is quite CPU
  2. intensive operation. The value is in hours, 0 disables regeneration
  3. entirely.
  4. Wie haeufig die SSL Parameter erzeugt werden sollen. Der Wert fasst Stunden
  5. Die Rechenoperation ist verhaeltnismaessig rechenintensiv. 0 schaltet die
  6. Regenerierung ab
  7. ssl_parameters_regenerate = 168
  1. Welche SSL Protokolle genutzt werden sollen

ssl_protocols = !SSLv3 !SSLv2

  1. SSL ciphers to use

ssl_cipher_list = ALL:!ADH:!LOW:!SSLv2:!SSLv3:!EXP:!aNULL:+HIGH:+MEDIUM

  1. SSL crypto device to use, for valid values run "openssl engine"
  2. ssl_crypto_device =

</source>

Weiterführende Links

  • Dovecot Dokumentation zu SSL
  • SSL Zertifikate für Mailserver bei icertificate
Abgerufen von „https://www.sslplus.de/wiki/index.php?title=Dovecot&oldid=1482