{"id":1578,"date":"2016-10-01T14:00:08","date_gmt":"2016-10-01T12:00:08","guid":{"rendered":"https:\/\/www.my-it-brain.de\/wordpress\/?p=1578"},"modified":"2016-10-02T10:18:08","modified_gmt":"2016-10-02T08:18:08","slug":"der-eigene-mailserver-tls-migration-zu-lets-encrypt","status":"publish","type":"post","link":"https:\/\/www.my-it-brain.de\/wordpress\/der-eigene-mailserver-tls-migration-zu-lets-encrypt\/","title":{"rendered":"Der eigene Mailserver – TLS-Migration zu Let’s Encrypt"},"content":{"rendered":"

Durch die Ank\u00fcndigung von Mozilla, den Zertifizierungsstellen StartCom und WoSign das Vertrauen entziehen zu wollen,[1. Golem: Mozilla will Startcom und Wosign das Vertrauen entziehen<\/a>] [2. Mozilla\u2019s proposed conclusion for community discussion, regarding the matter of WoSign and StartCom. {en}<\/a>] entstand f\u00fcr mich Handlungsbedarf. Denn ich wollte die Zertifikate dieser Anbieter nun so schnell wie m\u00f6glich loswerden.<\/p>\n

In Teil 2<\/a> meiner Artikelreihe „Der eigene Mailserver“<\/a> wird ein TLS\/SSL-Zertifikat von StartSSL verwendet, um dieses zur Absicherung von Postfix, Dovecot und dem Webmailer Roundcube zu verwenden. An dieser Stelle halte ich nun die Umstellung auf TLS-Zertifikate von Let’s Encrypt fest.<\/p>\n

F\u00fcr die Bereitstellung und automatisierte Erneuerung der Zertifikate verwende ich certbot-auto<\/code>.[3. Automatically enable HTTPS on your website with EFF’s Certbot, deploying Let’s Encrypt certificates. {en}<\/a>] Dessen Installation und Nutzung wird in Abschnitt 3.6.1 TLS-Kochbuch[4. TLS-Kochbuch – Rezepte f\u00fcr die Verwendung von OpenSSL, HTTP Strict Transport Security (HSTS) und HTTP Public Key Pinning (HPKP)<\/a>] beschrieben.<\/p>\n

Das von cerbot-auto<\/code> erzeugte Zertifikat und der dazugeh\u00f6rige private Schl\u00fcssel werden unter dem Pfad \/etc\/letsencrypt\/live\/<\/em> abgelegt. Um das Zertifikat in die gew\u00fcnschten Dienste einzubinden, ist der Pfad zum Zertifikat in den Konfigurationsdateien der Dienste zu aktualisieren. Das folgende Listing gibt den Namen der Konfigurationsdateien und der anzupassenden Parameter wieder:<\/p>\n

# \/etc\/nginx\/sites-available\/roundcube\r\nssl_certificate \/etc\/letsencrypt\/live\/FQDN\/fullchain.pem;\r\nssl_certificate_key \/etc\/letsencrypt\/live\/FQDN\/privkey.pem;\r\n\r\n# \/etc\/postfix\/main.cf\r\nsmtpd_tls_cert_file = \/etc\/letsencrypt\/live\/FQDN\/fullchain.pem\r\nsmtpd_tls_key_file = \/etc\/letsencrypt\/live\/FQDN\/privkey.pem\r\n\r\n# \/etc\/dovecot\/conf.d\/99-mail-stack-delivery.conf\r\nssl_cert =<\/pre>\n
Die Konfiguration der Dienste muss anschlie\u00dfend neu geladen werden. Um dies bei zuk\u00fcnftigen Erneuerungen des Zertifikats zu automatisieren, habe ich ein kleines Skript renew_certs.sh<\/code> erstellt, welches t\u00e4glich via Cron ausgef\u00fchrt wird.<\/p>\n
#!\/bin\/sh\r\n\/home\/USERNAME\/certbot\/certbot-auto renew --quiet --no-self-upgrade\r\nsudo service nginx reload\r\nsudo service postfix reload\r\nsudo service dovecot reload\r\n<\/pre>\n
certbot-auto renew<\/code> erneuert das Zertifikat, sobald die G\u00fcltigkeitsdauer kleiner 30 Tage ist. Durch die t\u00e4gliche Ausf\u00fchrung soll sichergestellt werden, dass die Aktualisierung auch dann rechtzeitig gelingt, sollte die Schnittstelle von Let’s Encrypt vor\u00fcbergehend nicht erreichbar sein.<\/p>\n","protected":false},"excerpt":{"rendered":"
Durch die Ank\u00fcndigung von Mozilla, den Zertifizierungsstellen StartCom und WoSign das Vertrauen entziehen zu wollen,[1. Golem: Mozilla will Startcom und Wosign das Vertrauen entziehen] [2. Mozilla\u2019s proposed conclusion for community discussion, regarding the matter of WoSign and StartCom. {en}] entstand f\u00fcr mich Handlungsbedarf. Denn ich wollte die Zertifikate dieser Anbieter nun so schnell wie m\u00f6glich [Weiterlesen…]<\/a><\/span><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_metis_text_type":"","_metis_text_length":0,"_post_count":0,"footnotes":""},"categories":[51],"tags":[429,379,305,318,417,418],"class_list":["post-1578","post","type-post","status-publish","format-standard","hentry","category-linux","tag-cerbot-auto","tag-lets-encrypt","tag-planet","tag-ssl","tag-tls","tag-zertifikate"],"_links":{"self":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts\/1578","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/comments?post=1578"}],"version-history":[{"count":8,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts\/1578\/revisions"}],"predecessor-version":[{"id":1587,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts\/1578\/revisions\/1587"}],"wp:attachment":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/media?parent=1578"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/categories?post=1578"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/tags?post=1578"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}