Selbstsigniertes Zertifikat für Mailserver

Betreibt man einen eigenen Maildienst, so sollte man unbedingt die Verschlüsselung aktivieren. Ich verwende den courier-imap-Server. Für diesen möchte ich ein selbst signiertes Zertifikat erstellen.

Erneuern der DH-Parameter

Ältere Versionen nutzen nur schwache DH-Parameter, deren Länge begrenzt ist. Ich möchte mindestens eine Bitanzahl von 2048 nutzen, damit auch keine Warnmeldungen über schwache Zertifikate nerven. Zuerst löscht oder sichert man die Datei /etc/courier/dhparams.pem. Dann erstellt man diese neu, gibt aber die Bitanzahl vor.

cd /etc/courier
DH_BITS=2048 mkdhparams

Nun kann man die Datei /etc/courier/imap.conf nach seinen Wünschen anpassen. Die Anzahl der Bits sollte man auf 2048 oder besser 4096 setzen. Das Feld CN muss der Domain des Mailservers entsprechen. Beispielhaft führe ich meine Konfiguration auf.

RANDFILE = /etc/courier/imapd.rand

[ req ]
default_bits = 4096
encrypt_key = yes
distinguished_name = req_dn
x509_extensions = cert_type
prompt = no
default_md = sha1

[ req_dn ]
C=DE
ST=B
L=Berlin
O=Mail Server
OU=planet-laas.de
CN=planet-laas.de
emailAddress=webmaster@planet-laas.de

[ cert_type ]
nsCertType = server

Ein kleines Helferskript erstellt das Zertifikat. Nach einem Neustart des Mailservers ist dies sofort in Verwendung.

mkimapdcert
service courier-imap-ssl restart