Univention Corporate Server (UCS) » SSL-Zertifikate

ID #1191

Verwendung eigener SSL-Zertifikate

Die Dienste Apache2, Cyrus und Postfix können, wie in den folgenden Punkten beschrieben, für die Verwendung von eigenen (nicht von UCS erstellten) SSL-Zertifikaten konfiguriert werden.

Apache2

Um für den Webserver Apache2 eigene Zertifikate zu verwenden, sind die UCR Variablen apache2/ssl/certificate und apache2/ssl/key auf den vollen Pfad zu den Zertifikatsdateien zu setzen, z.B.:

ucr set apache2/ssl/certificate="/etc/myssl/cert.pem"
ucr set apache2/ssl/key="/etc/myssl/private.key"

Anschließend muss der Dienst neu gestartet werden, um die Änderungen wirksam zu machen:

/etc/init.d/apache2 restart

Cyrus

Bei der Konfiguration der SSL-Zertifikate für dem IMAP-Server Cyrus ist gesondert zu beachten, dass die Dateien dem Benutzer "cyrus" und der Gruppe "mail" gehören müssen. Es empfiehlt sich daher, eine zusätzliche Kopie der Zertifikate zu erzeugen. Dem obigen Beispiel folgend, könnte die Konfiguration wie folgt durchgeführt werden:

cp /etc/myssl/cert.pem /var/lib/cyrus/cert.pem
cp /etc/myssl/private.key /var/lib/cyrus/private.key
chown cyrus:mail /var/lib/cyrus/cert.pem /var/lib/cyrus/private.key
chmod 600 /var/lib/cyrus/cert.pem /var/lib/cyrus/private.key

Anschließend sind für Cyrus die UCR Variablen mail/cyrus/ssl/certificate und mail/cyrus/ssl/key zu setzen:

ucr set mail/cyrus/ssl/certificate="/var/lib/cyrus/cert.pem"
ucr set mail/cyrus/ssl/key="/var/lib/cyrus/private.key"

Auch der Cyrus Server muss nach dieser Anpassung neu gestartet werden:

/etc/init.d/cyrus2.2 restart

Postfix

Für den Mailserver Postfix, sind die Variablen mail/postfix/ssl/certificate und mail/postfix/ssl/key zu verwenden, z.B.:

ucr set mail/postfix/ssl/certificate="/etc/myssl/cert.pem"
ucr set mail/postfix/ssl/key="/etc/myssl/private.key"

Mit UCS 2.4 werden diese Variablen noch nicht ausgewertet (Bug #21867), weshalb eine Ergänzug der Postfix Konfigurations-Templates notwendig ist. Mit UCS 3.0 kann diese Anpassung wieder entfernt werden, da die Auswertung der Variablen in die Standard-Postfix-Konfiguration übernommen wird.

Um die Variablen in die Postfix Konfiguration zu integrieren, sind auf dem entsprechenden System zwei neue Dateien zu erzeugen:

  1. /etc/univention/templates/files/etc/postfix/main.cf.d/61_custom-postfix-tls-configuration mit dem folgenden Inhalt:
    @!@
    # Overwrite previous TLS cert/key settings
    if configRegistry.get('mail/postfix/ssl/certificate'):
            print 'smtpd_tls_cert_file = %s' % configRegistry.get('mail/postfix/ssl/certificate')
    if configRegistry.get('mail/postfix/ssl/key'):                                                          
            print 'smtpd_tls_key_file = %s' % configRegistry.get('mail/postfix/ssl/key')
    @!@
  2. /etc/univention/templates/info/custom-postfix-tls-configuration.info mit dem folgenden Inhalt:
    Type: multifile
    Multifile: etc/postfix/main.cf
    Variables: mail/postfix/ssl/certificate
    Variables: mail/postfix/ssl/key

    Type: subfile
    Multifile: etc/postfix/main.cf
    Subfile: etc/postfix/main.cf.d/61_custom-postfix-tls-configuration

Anschließend muss der UCR-Cache geleert, die Postfix-Konfiguration neu geschrieben und der Mailserver neu gestartet werden:

rm /var/cache/univention-config/cache
ucr commit /etc/postfix/main.cf
/etc/init.d/postfix restart

Tags: apache, cyrus, postfix, SSL, SSL Zertifikate

Verwandte Artikel:

Letzte Änderung der FAQ: 2011-03-17 14:36
Autor: Janis Meybohm
Revision: 1.4

Digg it! Share on Facebook FAQ ausdrucken FAQ weiterempfehlen Als PDF-Datei anzeigen
Übersetzungsvorschlag für Übersetzungsvorschlag für
Bewertung der Nützlichkeit dieser FAQ:

Durchschnittliche Bewertung: 0 (0 Abstimmungen)

vollkommen überflüssig 1 2 3 4 5 sehr wertvoll

Kommentieren nicht möglich