Moin,
mein WHS soll aus dem Internet per SSL-abgesichertem IMAP erreichbar sein (schließlich bin ich häufig unterwegs). hMailServer benötigt dafür ein Zertifikat - was läge näher, als das von homeserver.com vergebene zu nutzen. Leider will mir das nicht ganz gelingen. Vielleicht kann sich einer von Euch erklären, warum...
Ein ähnliches Thema gab es letztes Jahr schon einmal hier für den Webserver IPS2.
Und genau wie dort beschrieben gehe ich auch jetzt vor.
Zunächst speichere ich das Zertifikat per Internet Explorer:
Danach extrahiere ich den Fingerprint des Servers:pleibling hat geschrieben:Als erstes müßte ihr dazu erstmal das bestehende Zertifikat exportieren:
* Internet Explorer starten
* HTTPS Adresse eures Servers anzeigen (z.B. WHS Site)
* Oben rechts auf das Schloß klicken
* Zertifikat anzeigen
* Register Details aufrufen
* In Datei kopieren und weiter
* Base64 codiert wählen und weiter
* Dateinamen angeben und weiter (zB zertifikat.cer)
* Fertigstellen und ok
Für den nächsten Schritt installiere ich die Win32-Version von OpenSSL (nicht vergessen, die benötigt Microsofts Visual C++ 2008 Redistributables).pleibling hat geschrieben:Nun braucht ihr noch den echten Fingerprint des Servers:
* Start
* Ausführen
* MMC und ok
* Datei und SnapIn hinzufügen
* Hinzufügen klicken
* Zertifikate auswählen und Hinzufügen klicken
* Computerkonten auswählen und weiter
* Lokaler Computer und Fertigstellen
* Schließen und ok
* Zertifikate auklappen und auf eigene Zeritifikate \ Zertifikate Doppelklicken
* Auf das echte Zertifikat mit der rechten Maustaste
* Alle Aufgaben und Exportieren...
* Weiter
* Ja, und privaten Schlüssel exportieren wählen, dann weiter
* Privater Informationsaustausch PCKS#12 und verstärkte Sicherheit aktivieren wählen
* Kennwort bitte leer lassen (sonst bekommt IPS2 Probleme)
* Weiter und Dateinamen angeben (zb fingerprint.pfx)
* Weiter und Fertigstellen
Nun kopiere ich den exportierten Fingerprint fingerprint.pfx in das bin-Verzeichnis von OpenSSL. Mit der Kommandozeile geht es jetzt in das bin-Verzeichnis und dort exportiere ich erst einmal den privaten Schlüssel aus dem Fingerprint:
Code: Alles auswählen
openssl pkcs12 -in fingerprint.pfx -nocerts -out privatkey.pemCode: Alles auswählen
openssl rsa -in privatkey.pem -out server.keyCode: Alles auswählen
openssl pkcs12 -in fingerprint.pfx -clcerts -nokeys -out zertifikat.pemNun kopiere ich
- das mit dem IE gesicherte Zertifikat zertifikat.cer
- das mit OpenSSL exportierte Zertifikat zertifikat.pem
- den mit OpenSSL erstellten Schlüssel server.key
Settings -> Advanced -> SSL certificates
und lege dort ein neues Zertifikat an. Als Certificate file verwende ich wahlweise das IE-Zertifikat oder das Open SSL Zertifikat (einen Unterschied habe ich hier nicht feststellen können) und als Private key file den mit OpenSSL generierten Schlüssel server.key.
Jetzt muß ich hMailServer noch beibringen, auf den IMAP-SSL-Port 993 zu lauschen. Das mache ich im Reiter
Settings -> Advanced -> TCP/IP ports
indem ich dort ein IMAP-Protokoll mit dem Port 993 anlege und mit "Use SSL" die Verwenung des gerade angelegten Zertifikates sicherstelle.
So - hMailServer neu starten - fertig (sofern die Windows-Firewall den Port 993 durchläßt - ggfs. einstellen).
Naja... fast fertig. Denn leider klappt es nicht ganz.
Thunderbird beschwert sich nämlich, daß die Identität mit diesem Zertifikat nicht bestätigt werden konnte.
Hat jemand eine Idee, was ich falsch gemacht habe?
EDIT: Wobei Outlook scheinbar keine Schwierigkeiten mit dem Zertifikat zu haben scheint...