SSL-Zertifikat ... was muss ich beachten?

  • Hallo,


    Zur Erklärung, was ich vorhabe :


    Ich möchte auf einem Server 3 Domains einrichten, und für 2 Domains eine HP, die 3. Domain dient nur dem Email-Server. Nun möchte ich gern für die 3. Domain ein SSL-Zertifikat einrichten, um Emails verschlüsselt übertragen zu können. Das sähe dann meiner Meinung nach wie folgt aus :


    Domain1 :


    Domain1.de
    info@domain1.de


    Mailserver : domain3.de
    Mailname : info@domain1.de
    Paswort : xxxxxxxxxxxx




    Domain2 :


    Domain2.de
    info@domain2.de


    Mailserver : domain3.de
    Mailname : info@domain2.de
    Paswort : xxxxxxxxxxxx




    Zum einen : Das sollte doch funktionieren, oder?


    Desweiteren : Ich habe noch etwas im Hinterkopf, das man bei dem Antrag zum Zertifikat etwas beachten muss. Mache ich es falsch, dann funktioniert nur www oder ohne www. Mache ich es richtig, dann funktioniert beides. Wie war das noch? Falls der Mailserver über z.B. "mail.domain3.de" erreichbar wäre, dann bräuchte ich zwingend ein Wildcard-Zertifikat, oder?



    Gruß
    Ralph

    9 von 10 Stimmen in meinem Kopf sagen ich bin nicht verrückt, die letzte summt ständig die Melodie von Tetris.

  • Zum einen : Das sollte doch funktionieren, oder?

    Wenn du deinen (Mail-)Server richtig konfigurierst funktioniert das, ja. Sollte nicht das Problem sein.

    Desweiteren : Ich habe noch etwas im Hinterkopf, das man bei dem Antrag zum Zertifikat etwas beachten muss. Mache ich es falsch, dann funktioniert nur www oder ohne www. Mache ich es richtig, dann funktioniert beides. Wie war das noch? Falls der Mailserver über z.B. "mail.domain3.de" erreichbar wäre, dann bräuchte ich zwingend ein Wildcard-Zertifikat, oder?

    "www" ist nichts weiter als eine Subdomain, die nur in der Regel ebenfalls auf die Hauptdomain weiterleitet (aber keinesfalls muss).
    Es funktioniert entweder mit oder ohne www aber nicht beides (zumindest nicht mit einem einfachen Zertifikat).
    Wildcard wäre eine Lösung bei der alle Subdomains von "domain3.de" ebenfalls funktionieren, finde ich für dein Vorhaben aber übertrieben, besonders wenn man sich die Preise anguckt.
    Richte doch einfach erst den Server ein und dann weißt du auch für welche Subdomains du Zertifikate brauchst. Du kannst diese Zertifikate ja in einer Probekonfiguration bereits erstellen, der einzige Unterschied zum Produktivsystem wird sein, dass der Browser & Mailclient dir eine Warnung anzeigt, dass das Zertifikat nicht validiert ist.


    Übrigens: ich rate dir dringend von RapidSSL-Zertifkaten ab. Habe das Spielchen gerade hinter mir: die funktionieren auf fast keinem mobilen Gerät (die man heutzutage allerdings unbedingt unterstützen sollte). Thawte wäre zu empfehlen.

  • Übrigens: ich rate dir dringend von RapidSSL-Zertifkaten ab. Habe das Spielchen gerade hinter mir: die funktionieren auf fast keinem mobilen Gerät (die man heutzutage allerdings unbedingt unterstützen sollte). Thawte wäre zu empfehlen.

    Kannst du Gedanken lesen?


    Natürlich wollte ich ein RapidSSL- oder Comodo-Zertifikat verwenden, da ich dachte es sollte für einen privaten Mailserver reichen. Aber nach der Info sollte ich das ggf. überdenken.

    9 von 10 Stimmen in meinem Kopf sagen ich bin nicht verrückt, die letzte summt ständig die Melodie von Tetris.

  • Bei einigen bekommt man example.com automatisch dazu, wenn man es für http://www.example.com beantragt. Das ist z.B. bei RapidSSL so, gilt aber wirklich nur genau so und nicht für Subdomains.


    Übrigens: ich rate dir dringend von RapidSSL-Zertifkaten ab. Habe das Spielchen gerade hinter mir: die funktionieren auf fast keinem mobilen Gerät (die man heutzutage allerdings unbedingt unterstützen sollte). Thawte wäre zu empfehlen.


    Dann hast Du vergessen das Zwischenzertifikat der CA zu integrieren… :rolleyes:



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Übrigens: ich rate dir dringend von RapidSSL-Zertifkaten ab. Habe das Spielchen gerade hinter mir: die funktionieren auf fast keinem mobilen Gerät (die man heutzutage allerdings unbedingt unterstützen sollte). Thawte wäre zu empfehlen.


    Kurz gesagt: Dein Fehler.


    Wenn du alles richtig konfigurierst, dann funktioniert das auch. Bei signierten Zertifikaten anderer Anbieter kommst du um diese korrekten Einstellungen auch nicht herum. Bitte sei also vorsichtig mit solchen Hinweisen die ausdrücken, dass man davon abrät.


    TLS ist keine Magie. Es funktioniert überall gleich. Lediglich die Akzeptanz der Zertifizierungsstellen ist der Unterschied. So wird zum Beispiel ein von CACert signiertes Zertifikat problematisch, ein von RapidSSL signiertes jedoch so gut wie keine Probleme machen.


    Hint: Jedes Zertifikat macht Probleme, wenn man es falsch konfiguriert und dazu ein Android 2.0 von 2009 benutzt.



    RHA: Schau dir einfach Webseiten mit Zertifikaten an, die du einsetzen willst. Ein Beispiel von mir ist coa.cx. Hier der Test bei SSLLabs.com. Hinweise wie `SHA1withRSA WEAK` hat man sich selbst zuzuschreiben, wenn man eben kein `-sha256` bei der Erstellung des CSR und privatem Schlüssels nutzt :)

  • Daran ist nichts abwertend, es ist ein Beispiel im Bezug auf "die funktionieren auf fast keinem mobilen Gerät" - was eine falsche Aussage ist..
    Solltest du dich dadurch angegriffen fühlen, weil du genau dieses Konstrukt benutzt und zu der Schlussfolgerung gekommen bist, dass die signierende Instanz daher schlecht sei, dann bitte ich vielmals um Entschuldigung.

  • Daran ist nichts abwertend, es ist ein Beispiel im Bezug auf "die funktionieren auf fast keinem mobilen Gerät" - was eine falsche Aussage ist..
    Solltest du dich dadurch angegriffen fühlen, weil du genau dieses Konstrukt benutzt und zu der Schlussfolgerung gekommen bist, dass die signierende Instanz daher schlecht sei, dann bitte ich vielmals um Entschuldigung.

    es klang leider etwas abwertend. aber wenn du das so gemeint hast ist alles in Ordnung.

  • Es läuft mittlerweile, ich hatte vergessen das SSL Bundle einzutragen, tatsächlich mein Fehler.


    Dennoch muss ich noch anmerken: ein Zertifikat von Thawte hat bei mir in Vergangenheit weniger Probleme gemacht.
    Die nehmen nämlich nicht umsonst mehr Geld.
    Es steht nicht umsonst in der Beschreibung das Thawte wohl besser ist ;)


    Android 4.4.2 übrigens (geflashed vor weniger als 1/2 Jahr)


    Google Chrome Mobil stellt sich übrigens nicht so an mit Zertifikaten.


    Ob unfreundlich oder nicht: die meisten Benutzer freuen sich wenn man einen Tipp gibt und nicht einfach alles schlecht redet.
    Schlecht reden kann jeder Vollidiot, besser machen nur die Wenigsten! (gilt in allen Lebenssituationen)

  • Übrigens: ich rate dir dringend von RapidSSL-Zertifkaten ab. Habe das Spielchen gerade hinter mir: die funktionieren auf fast keinem mobilen Gerät (die man heutzutage allerdings unbedingt unterstützen sollte). Thawte wäre zu empfehlen.


    Schlecht reden kann jeder Vollidiot, besser machen nur die Wenigsten! (gilt in allen Lebenssituationen)

  • Zum einen : Das sollte doch funktionieren, oder?


    Wie killerbees19 scho geschrieben hat: Ja. Das funktioniert, wenn du dazu konkrete Fragen hast immer raus damit.


    Natürlich wollte ich ein RapidSSL- oder Comodo-Zertifikat verwenden, da ich dachte es sollte für einen privaten Mailserver reichen. Aber nach der Info sollte ich das ggf. überdenken.


    Bei der Auswahl kannst du gern bleiben, ohne Probleme zu haben.

  • Macht wohl einen kleinen Unterschied ob Kunde mit Kunde oder aber Kunde mit Anbieter etc. spricht.
    Aber ich will gar nicht genauer drauf eingehen, darfst dich auch mal toll fühlen ;)

    Bei der Auswahl kannst du gern bleiben, ohne Probleme zu haben.

    Wie viel bezahlt dir RapidSSL?
    Suchen die noch Leute?


    RHA ich rate dir dich einfach mal hier zu informieren: netcup.de - SSL-Zertifkate

  • OK, ich danke schon mal allen für ihre Beiträge.


    Im Moment steht für mich schonmal fest, das für meinen privaten Mailserver ein RapidSSL ausreichen sollte. Bei korrekter Einrichtung sollte dies funktionieren und dem Zweck entsprechend sein. Beantragen sollte ich es mit "www", da RapidSSL Zertifikate ausgibt, bei denen die Domain ohne www mit enthalten ist.


    Nun warte ich aber noch den Adventskalender ab, vielleicht gibt es ja passende Angebote (Zertfikat, Domain).


    Wenn ich soweit bin, werde ich ggf. nochmal Fragen stellen. Es wird einem ja immer gut geholfen in diesem Forum.



    Gruß
    Ralph

    9 von 10 Stimmen in meinem Kopf sagen ich bin nicht verrückt, die letzte summt ständig die Melodie von Tetris.

    Einmal editiert, zuletzt von RHA ()

  • OK,


    heute gibt es ja ein SSL-Zertifikat im Adventskalender als Angebot, und ich sollte schnellstens meine Gedanken zu Ende bringen.


    Ich habe inzwischen eine Domain "sslmails.de", welche ich für meinen Mailserver verwenden möchte. Wenn ich alles richtig machen will, dann sollte ich nach meinem Verständnis diese auch als Hostnamen und rDNS eintragen. Dazu muss es sich natürlich um einen FQDN handeln, womit ich z.B. "ns1.sslmails.de" verwende, und diese Subdomain per DNS-Einstellungen auf meinen Server leite. Somit muss ich dann das Zertifikat auf "ns1.sslmails.de" ausstellen lassen, und den FQDN auch als Mailserver im Client (z.B. Outlook) eintragen.


    Ist das alles korrekt, oder mache ich etwas falsch?


    ***EDIT***
    Der private.key und CSR können doch auch auf einem anderen System erstellt werden? (z.B. einer VM)

    9 von 10 Stimmen in meinem Kopf sagen ich bin nicht verrückt, die letzte summt ständig die Melodie von Tetris.

    2 Mal editiert, zuletzt von RHA ()

  • Den privaten Schlüssel sowie die Zertifikatsanforderung (CSR) kannst Du logischerweise auf jedem beliebigem System erstellen.


    Hostname sowieso rDNS sollten identisch sein, das Zertifikat kann aber durchaus auf etwas anderes lauten. Ein kleines Beispiel:


    • rDNS: vienna.example.com
    • Hostname: vienna.example.com
    • HELO/EHLO: vienna.example.com


    Der MX-Eintrag könnte jetzt genauso gut auf meine-stadt.example.com zeigen (solange die A/AAAA Records auf den Server zeigen).


    Der Domainname, den du im Mailclient (Outlook, Thunderbird, …) einträgst, kann hingegen trotzdem mail.example.com sein (entsprechende A/AAAA Records vorausgesetzt) – und auf diesen sollte dann auch das Zertifikat ausgestellt sein! :)


    Ich hoffe ich habe Dich nicht unnötig verwirrt und wünsche viel Spaß beim Bestellen. Wenn Du es Dir einfach machen möchtest, kannst Du natürlich auch rDNS/Hostname/SSL-Zertifikat/usw. alles auf den gleichen FQDN setzen, wie von Dir vorgeschlagen. Ich wollte Dir nur aufzeigen, dass es bei Bedarf auch anders geht. http://www.example.com ist übrigens auch ein FQDN, nur so als Hinweis. Dann kannst Du das Zertifikat auch für andere Dinge (und auch ohne www) nutzen – auch im Mailclient… ;)



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Ein wenig verwirrt bin ich jetzt schon.


    Ich dachte die Server kommunizieren immer über den FQDN miteinander. Wenn also durchgehen Verschlüsselung möglich sein soll, dann müsste doch das Zertifikat auf den FQDN ausgestellt werden, oder bin ich da jetzt schief gewickelt?

    9 von 10 Stimmen in meinem Kopf sagen ich bin nicht verrückt, die letzte summt ständig die Melodie von Tetris.

  • Wenn du damit die SMTP-Kommunikation zwischen Mailserver (deiner) <-> Mailserver (anderer) meinst, dann kommunizieren sie genau genommen über den im MX-Eintrag hinterlegten Host. Und soweit ich weiß, überprüft das kaum ein Mailserver so streng, welches Zertifikat der andere Server hat. Und selbst wenn, muss er nur den A/AAAA-Record abgleichen, ob dieser auf die gleiche IP zeigt. Wenn man etwas anderes erzwingen würde, dann gäbe es bei vielen großen Setups haufenweise Probleme.


    Ich lasse mich aber gerne von anderen korrigieren, falls ich hier Falschinformationen verbreiten sollte.



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Neu erstellte Beiträge unterliegen der Moderation und werden erst sichtbar, wenn sie durch einen Moderator geprüft und freigeschaltet wurden.

    Die letzte Antwort auf dieses Thema liegt mehr als 365 Tage zurück. Das Thema ist womöglich bereits veraltet. Bitte erstellen Sie ggf. ein neues Thema.

    • :)
    • :(
    • ;)
    • :P
    • ^^
    • :D
    • ;(
    • X(
    • :*
    • :|
    • 8o
    • =O
    • <X
    • ||
    • :/
    • :S
    • X/
    • 8)
    • ?(
    • :huh:
    • :rolleyes:
    • :love:
    • :pinch:
    • 8|
    • :cursing:
    • :wacko:
    • :thumbdown:
    • :thumbup:
    • :sleeping:
    • :whistling:
    • :evil:
    • :saint:
    • <3
    • :!:
    • :?:
    Maximale Anzahl an Dateianhängen: 10
    Maximale Dateigröße: 1 MB
    Erlaubte Dateiendungen: bmp, gif, jpeg, jpg, pdf, png, txt, zip