Plesk – Ändern der SSL-Zertifiakte für SMTP, IMAP und POP3

Bei der Installation von Plesk wird ein Default-Zertifikat für alle E-Maildienste automatisch erstellt. Dies ist meist auf den Hostnamen, den Plesk bei der Installation automatisch ermittelt hat, ausgestellt. Dieses Zertifikat ist zudem selbstsigniert und die E-Mail-Clients zeigen demzufolge die entsprechenden Warnungen an.

Oft liegt bereits ein valides Zertifikat vor. Wie dies nun in die verschieden Dienste aufgenommen wird soll dieser Artikel zeigen.

Vorbereiten des SSL-Zertifikates für Plesk

Zuerst müssen wir uns eine Zertifikats-Datei (z.b. zertifikat.pem) erstellen. In dieses pem-File kopieren wir unseren  Zertifikatsschlüssel unseren privaten Schlüssel und falls nötig  noch das CACert (Intermediate) der Zertifizierungsstelle.

Die zertifikat.pem Datei sollte dann folgenden Inhalt haben:

-----BEGIN RSA PRIVATE KEY-----
..........
(Privater Schlüssel)
..........
-----END RSA PRIVATE KEY-----
-----BEGIN CERTIFICATE-----
..........
(Privates SSL Zertifikat)
..........
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
..........
(CA-Zertifikat)
..........
-----END CERTIFICATE-----

Nun ersetzen wir je nach installieren Programm die Default-Zertifikat-Dateien durch unsere zertifikat.pem.

Je nach installieren Programm befinden Sie diese Dateien an einem anderen Ort.

Plesk – MTA – SSL-Zertifikate für Postfix oder Qmail

Ort der der Dateien die ersetzt werden müssen.

#Postfix

/etc/postfix/postfix_default.pem

#Qmail

/var/qmail/control/servercert.pem

 

Plesk – MDA – SSL-Zertifikate für Dovecot oder Courier

Ort der der Dateien die ersetzt werden müssen.

#dovecot

/etc/dovecot/private/ssl-cert-and-key.pem

#courier

/usr/share/imapd.pem
/usr/share/pop3d.pem

Nachdem wir die Dateien ausgetauscht haben muessen wir die Dienste neu starten. Dies können wir entweder einzeln erledigen oder auf einmal indem wir alles Plesk-Dienste einmal neu starten.

# centOS 6
service psa stop all

service psa start

Fazit

Das Austauschen der SSL-Zertifiakte für die für E-Mail relevanten Dienste ist sehr einfach. Natürlich ist es möglich die Dienste auch zu zu konfigurieren, dass diese eine andere Datei verwenden. Allerdings ist diese Variante nicht updatesicher. Plesk erstellt unter Umständen die Konfigurationsdateien der Dienste neu, unsere Einstellungen werde somit überschrieben. Das Austauschen der Zertifikatsdateien ist der empfohlene Weg.

Diese Tutorial funktioniert bei allen Plesk-Versionen ab 11.0 und wurde unter CentOS 6 und CentOS 7 getestet. Bei anderen Distributionen können eventuell die Pfade abweichen.

Wie immer lohnt sich ein Blick auf die Projektseiten der einzelnen Dienste: DovecotPostfixQmailCourierParallels Plesk

9 Kommentare

  1. Hallo und danke für die gute Übersicht.

    Frage:
    Muss im Verzeichnis von Postfix die „postfix_default.pem“ durch eine gleichnamige ersetzt werden oder kann ich meine „xyz.pem“ einfach mit in den Ordner legen?

    1. Hallo,

      ja die Datei postfix_default.pem durch die neue Datei ersetzen. Andernfalls kann es zu Problemen bei einem Update kommen und Plesk schreibt die Konfig wieder in die originale Konfig um. Daher besser keine Anpassungen in den Konfigdateien von Psotfix vornehmen.

  2. Danke für die Eklärung, hat auf jeden Fall geholfen.

    Wie sieht das aus, wenn man zwei verschiedene Domains hat, wie genau muss man dabei vorgehen, wenn man Zertifikate für imap.abc.de und smtp.abc.de sowie imap.def.de und smtp.def.de einrichten möchte?

      1. Vielen Dank für die Antwort. Allerdings muss ich das mit zwei verschiedenen Domains auf einer IP machen. Versteht postfix auch domains anstelle von IPs?

        1. Leider nicht. Nimm doch einfach einen neutralen Hostnamen z.b. server1.mein-superhosting.de und besorge Dir dafür ein Zertifikat. Den MX der unterschiedlichen Domains stellst Du dann auf diesen Hostnamen und die Kunden verbinden sich mit den Clients ebenfalls zu diesem Host.

  3. Hi,

    vielen Dank für den tollen Artikel!

    Du hast mir viel Zeit und Nerven erspart. Ich habe mit Linux eher wenig zu tun, abgesehen davon, dass ein paar kleinere Websites über meinen Server laufen. Dank dir nutzt mein Mailserver jetzt auch ein ordentliches Zertifikat.

    War eine echte Quälerei für mich als jemanden, der sich wohl nie mit Linux anfreunden wird, aber dank Dir bin ich doch noch zum Ziel gekommen. Gerne werde ich Deinen Artikel jedem weiterempfehlen, der mich auf das Thema anspricht!

    Dass es dafür keine Einstellung in Plesk gibt, ist mir ein Rätsel – schließlich habe ich mir für genau solche Einstellungen Plesk geholt. Nunja.

    Danke, danke, danke!

  4. Hallo, da wir mehrere Domain hosten auf unserem Server ist die Frage wie kann ich denn unterschiedliche Mailaccounts unter den verschiedenen Domains it unterschiedlichen SSL Zertifikaten schützen?

    Ich kann sonst ja nur ein Zertifikat für eine Domain eintragen?

    LG Patrick

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.