Einrichtung von SSL für den Dovecot IMAP/POP3 Server

Erzeugen des CSR

Für die Anforderung eines SSL Zertifikates ist es notwendig einen CSR (Certificate Signing Request/Zertifikatsanforderung) zu erzeugen.

Die kann per SSH oder über eine direkt Konsole auf dem Server erfolgen:

<source lang=bash> openssl req -new -newkey rsa:2048 -keyout /etc/ssl/private/domain.de.key -out /home/user/csr.txt -nodes -sha256 </source>

Besitzt man bereits ein Schlüsselpaar kann der CSR auch folgender Maßen erzeugt werden:

<source lang=bash> openssl req -new -key /etc/ssl/private/domain.de.key -out /home/user/csr.txt </source>

Anpassen der Konfiguration

Je nach Distribution sind die Konfigurationsdateien etwas anders Strukturiert. So werden bei Debian 7.x und Dovecot 2.x die Dateien unterhalb von /etc/dovecot/conf.d in verschiedenen Dateien gepflegt.

Die Parameter sind jedoch, egal in welcher Datei Sie schlussendlich zu finden sind, die gleichen.

<source lang=bash>

1. SSL/TLS supportan bzw. abschalten

ssl = yes

1. Pfade zum Zertifikat und Privatekey

ssl_cert = </etc/ssl/certs/domain.de.crt ssl_key = </etc/ssl/private/domain.de.key

1. Mit diesem Parameter kann ein Passwort übergeben werden, falls der Privatekey
2. verschluesselt wurde. Da diese Datei oft fuer alle lesbar ist, kann mit
3. <Pfad_zu_passwort_datei eine Datei angegeben werden, die nur fur root lesbar ist.
4. ssl_key_password =

1. PEM encoded trusted certificate authority. Set this only if you intend to use
2. ssl_verify_client_cert=yes. The file should contain the CA certificate(s)
3. followed by the matching CRL(s). (e.g. ssl_ca = </etc/ssl/certs/ca.pem)

1. Pfad zu den Intermediate Zertifikaten, die das Serverzertifikat
2. signieren.

ssl_ca = </etc/ssl/certs/INT_CA_chain.crt

1. dieser Parameter verlangt eine erfolgreiche Pruefung von CR Listen fuer Client Zertifikate
2. ssl_require_crl = yes

1. Mit diesem Parameter kann bei Clients ein Zertifikat angefordert werden.
2. Der Parameter auth_ssl_require_client_cert=yes erzwingt eine Verifizierung
3. dieses Zertifikates
4. ssl_verify_client_cert = no

1. Angabe welches Zertifikatsfeld den Nutzernamen enthalten soll.
2. Ueblicher Weise sind dies der commonName und x500UniqueIdentifier
3. Man sollte auch den folgenden Parameter setzen:
4. auth_ssl_username_from_cert=yes.
5. ssl_cert_username_field = commonName

1. How often to regenerate the SSL parameters file. Generation is quite CPU
2. intensive operation. The value is in hours, 0 disables regeneration
3. entirely.
4. Wie haeufig die SSL Parameter erzeugt werden sollen. Der Wert fasst Stunden
5. Die Rechenoperation ist verhaeltnismaessig rechenintensiv. 0 schaltet die
6. Regenerierung ab
7. ssl_parameters_regenerate = 168

1. Welche SSL Protokolle genutzt werden sollen

ssl_protocols = !SSLv3 !SSLv2

1. SSL ciphers to use

ssl_cipher_list = ALL:!ADH:!LOW:!SSLv2:!SSLv3:!EXP:!aNULL:+HIGH:+MEDIUM

1. SSL crypto device to use, for valid values run "openssl engine"
2. ssl_crypto_device =

</source>

Weiterführende Links

• Dovecot Dokumentation zu SSL
• SSL Zertifikate für Mailserver bei icertificate