[Eisfair] SSL Mail intern einschalten

Jens Kluge jk2020 at web.de
Di Jan 28 19:25:55 CET 2014 

Jetzt scheint es zu klappen!
bein tatsächlich über die saloppe Aussage "erst mal CA erzeugen" 
gestolpert :-)

Du möchtest vom Handy/Mailprogramm zum Mailserver eine verschlüsselte 
Verbindung?

Hier nochmal für alle die komplette Reihenfole für newbies:
Damit lassen sich über SSL/TLS Mails vom eignen imap/pop Server abholen

A) Erstmal CA erzeugen

Im CERTS-Menü 8 - Manage certificates

1.	Menüpunkt 1 (change/set certificate name)
a.	Auswahl: 1 - Certificate Authority (CA)
Parameters
   1 - change/set certificate type: ca
   = - change/set certificate name: ca

2.	Unter Certificate Authority (CA)
3.	Menüpunkt 3 - create a CA key
a.	Enter key: xxxxx
4.	Menüpunkt  4 - create a self-signed CA certificate - done. (valid 
until: 26.01.2024)
5.	5 - create .pem CA certificate and copy it to /usr/local/ssl/certs - 
done.


B) Im CERTS-Menü 8 - Manage certificates


6.	Menüpunkt 1 (change/set certificate name)
a.	Auswahl: 3 - Mail server certificate
b.	Menüpunkt 2 – Name nicht verstellen! Imapd automatisch vorausgewählt.

Folgendes muss stehen unter: Parameters
   1 - change/set certificate type: mail
   2 - change/set certificate name: imapd

7.	Menüpunkt 10 (create a new key or select an existing one [imapd] - 
NEW - done.)
a.	Erzeugt man einen neuen Rechner-spezifischen Schlüssel
b.	Datei /usr/local/ssl/private/imapd.key wird angelegt.

8.	Menüpunkt 11 'create certificate request'
a.	Zertifikatsanfrage erzeugen
b.	Datei /usr/local/ssl/csr/imapd.csr wird angelegt.
i.	Common Name = Dein dns-name eis.mein.lan

9.	Menüpunkt 12 'Zertifikat für Mail-Server mit eigenem CA-Schlüssel 
signieren'
a.	Auswahl: 1 - Server usage (server)
i.	Man erstellt sich ein selbst signiertes Zertifikat
Ausgewählt wird beim selbstsignieren 1 - Server usage!, nicht client email!

10.	Menüpunkt 13 'create Diffie-Hellman parameters'
a.	DH-Parameter wird erzeugt.

11.	Menüpunkt 14 'create .pem certificate and copy it to 
/usr/local/ssl/certs'
a.	Die endgültige Zertifikatsdatei wird erzeugt incl. des Schlüssels und 
der DH-Parameter.

Das Zertifikat wird vom Mailclient automatisch erkannt, und beim 
nächsten Zugriff heruntergeladen. Es ist nicht notwendig von Hand 
irgendwo einzugreifen.

Beispiel für Thunderbird sieht so aus:
IMAP, Port 993,Verbindung SSL, Sichere Authentifizierung: nein

Mehr Informationen über die Mailingliste Eisfair