HMailserver mit SSL Zertifikat verschlüsseln
Hallo,
ich habe seid langem Privat einen hMailserver mit diversen Domains am laufen nun wird es langsam mal Zeit mit SSL zu verschlüsseln.
Ich bin bei StartCom SSL Registriert und CLASS 2 Validiert, kann daher beliebig viele Multi und Wildcard Zertifikate ausstellen.
Ich habe aber sogut wie absolut keine Ahnung von SSL und dem Zeugs...
Im hMailserver kann ich einen Namen hinterlegen (Hostname?), ich muss ein Certifikate File angeben, sowie Private Key File (WO liegt da der Unterschied, was ist für was zuständig)
Ich möchte gerne via IMAP SSL auf den Server zugreifen und meine E-Mails aufm Smartphone und PC abrufen.
Wie macht ich das?
Bei StartCom habe ich die Wahl zwischen: S/MIME, SSL/TLS, XMPP & Object Code Signing Certifikate.
Ich bitte um Hilfe!
ich habe seid langem Privat einen hMailserver mit diversen Domains am laufen nun wird es langsam mal Zeit mit SSL zu verschlüsseln.
Ich bin bei StartCom SSL Registriert und CLASS 2 Validiert, kann daher beliebig viele Multi und Wildcard Zertifikate ausstellen.
Ich habe aber sogut wie absolut keine Ahnung von SSL und dem Zeugs...
Im hMailserver kann ich einen Namen hinterlegen (Hostname?), ich muss ein Certifikate File angeben, sowie Private Key File (WO liegt da der Unterschied, was ist für was zuständig)
Ich möchte gerne via IMAP SSL auf den Server zugreifen und meine E-Mails aufm Smartphone und PC abrufen.
Wie macht ich das?
Bei StartCom habe ich die Wahl zwischen: S/MIME, SSL/TLS, XMPP & Object Code Signing Certifikate.
Ich bitte um Hilfe!
Comment
Share
Share on Facebook
Share on X (Twitter)
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-ID: 233743
Url: https://administrator.de/forum/hmailserver-mit-ssl-zertifikat-verschluesseln-233743.html
Printed on: May 13, 2025 at 16:05 o'clock
3 Comments
Latest comment
Hallo,
ich kenne hMailserver nicht deshalb nur allgemeine Tips:
- Der "Name" des Mailservers ist üblicherwiese der Name unter dem er im DNS zu finden ist, also irgendwas in der Art <Maschinenname>.<Domain>.<TLD>. Dieser wird im SMTP Dialog etc. verwendet und dieser Name muß auch im SSL Zertifikat zu finden sein
- Zertifikat = öffentlicher "Schlüssel" der von deiner CA (Startssl) beglaubigt ist und Informationen über den Hostnamen enthält. Wird verwendet um die Daten die an den Server geschickt werden zu verschlüsseln. Dieses Zertifikat sollten alle Clients kennen und bis zur CA hoch validieren können.
- Private Key = privater "Schlüssel" der üblicherweise nur aus binär-müll besteht. Wird dazu verwendet die mit den öffentlichen Schlüssel verschlüsselten Daten wieder lesbar zu machen. Dieser private Schlüssel sollte nie aus der Hand gegeben werden bzw. so gut wie irgend möglich geschützt.
- Zugriff per IMAP-TLS ist auf dem selben Port wie IMAP (143) mit STARTTLS möglich, ansonsten gibt es noch IMAP-SSL auf Port 993
SMTP ist üblicherweise Port 587 mit STARTTLS
Um das Ganze einzurichten benötigst du mindestens ein SSL/TLS Zertifikat mit dem passenden private key welcher im Falle von StartCom entweder dort erzeugt wird (nicht empfohlen siehe Punkt 3), oder von dir selbst z.B. mit openssl erzeugt wird.
Gruß
Andi
ich kenne hMailserver nicht deshalb nur allgemeine Tips:
- Der "Name" des Mailservers ist üblicherwiese der Name unter dem er im DNS zu finden ist, also irgendwas in der Art <Maschinenname>.<Domain>.<TLD>. Dieser wird im SMTP Dialog etc. verwendet und dieser Name muß auch im SSL Zertifikat zu finden sein
- Zertifikat = öffentlicher "Schlüssel" der von deiner CA (Startssl) beglaubigt ist und Informationen über den Hostnamen enthält. Wird verwendet um die Daten die an den Server geschickt werden zu verschlüsseln. Dieses Zertifikat sollten alle Clients kennen und bis zur CA hoch validieren können.
- Private Key = privater "Schlüssel" der üblicherweise nur aus binär-müll besteht. Wird dazu verwendet die mit den öffentlichen Schlüssel verschlüsselten Daten wieder lesbar zu machen. Dieser private Schlüssel sollte nie aus der Hand gegeben werden bzw. so gut wie irgend möglich geschützt.
- Zugriff per IMAP-TLS ist auf dem selben Port wie IMAP (143) mit STARTTLS möglich, ansonsten gibt es noch IMAP-SSL auf Port 993
SMTP ist üblicherweise Port 587 mit STARTTLS
Um das Ganze einzurichten benötigst du mindestens ein SSL/TLS Zertifikat mit dem passenden private key welcher im Falle von StartCom entweder dort erzeugt wird (nicht empfohlen siehe Punkt 3), oder von dir selbst z.B. mit openssl erzeugt wird.
Gruß
Andi
Hey,
besten Dank für deine Hilfe ;)
Hat mir schon mal weitergeholfen.
Ich habe mich mal an OpenSSL gewagt und mir Win32OpenSSL_light_1_0_1_f.exe runtergeladen und installiert.
Jetzt habe ich die Anleitung gefunden: http://www.werthmoeller.de/doc/microhowtos/openssl/
Bin aber maßlos mit der Situation überfordert ^^
Ist es eventuell schlauer, dass OpenSSL gelumpe auf meinem Raspi zu installieren und darüber den Private Key zu erstellen?
Denke in einer Linux Umgebung läuft SSL besser?!
besten Dank für deine Hilfe ;)
Hat mir schon mal weitergeholfen.
Ich habe mich mal an OpenSSL gewagt und mir Win32OpenSSL_light_1_0_1_f.exe runtergeladen und installiert.
Jetzt habe ich die Anleitung gefunden: http://www.werthmoeller.de/doc/microhowtos/openssl/
Bin aber maßlos mit der Situation überfordert ^^
Ist es eventuell schlauer, dass OpenSSL gelumpe auf meinem Raspi zu installieren und darüber den Private Key zu erstellen?
Denke in einer Linux Umgebung läuft SSL besser?!
Ich mach das immer so:
Den Inhalt von <Dateiname>.csr dann bei StartSSL einkippen (Certificate Request)
Nach der reinen Lehre wird der Raspi zu wenig Entropie für die Schlüsselerzeugung haben, aber sicher besser als ein fremdgenerierten Schlüssel zu verwenden
Der Punkt ist das du alles was mit CA Management etc zu tun hat weglassen kannst, das macht StartSSL. Du brauchst nur deinen private Key (siehe oben) und ein Zertifikat welches aus deinem CSR von der CA (StartSSL) erzeugt wird. Die Abfragen bei der Erzeugung des CSR sind übrigens egal, da diese Werte von StartSSL eh überschrieben werden.
Gruß und viel Erfolg
Andi
- Erzeugen von 2048Bit RSA key
- CSR zum einreichen bei root-CA erzeugen
Den Inhalt von <Dateiname>.csr dann bei StartSSL einkippen (Certificate Request)
Nach der reinen Lehre wird der Raspi zu wenig Entropie für die Schlüsselerzeugung haben, aber sicher besser als ein fremdgenerierten Schlüssel zu verwenden
Der Punkt ist das du alles was mit CA Management etc zu tun hat weglassen kannst, das macht StartSSL. Du brauchst nur deinen private Key (siehe oben) und ein Zertifikat welches aus deinem CSR von der CA (StartSSL) erzeugt wird. Die Abfragen bei der Erzeugung des CSR sind übrigens egal, da diese Werte von StartSSL eh überschrieben werden.
Gruß und viel Erfolg
Andi