Seit dem 12. Dezember 2012 akzeptiert Gmail keine Self-Signed-Certificates mehr, wenn man seine Mails von fremden Konten abholen lässt.
Was kann man also machen, wenn man einen eigenen Mail-Server betreibt und seine Mails im Gmail Konto sehen möchte?
Hier sind die Schritte, die ich gemacht habe um meinen Courier POP3-Server über SSL zu betreiben:
- Ein Zertifikat von einer Zertifizierungsstelle besorgt. Gratis bekommt man das z.B. von startssl.com.
- Folgende Dateien habe ich benötigt:
- ca-bundle.pem von der Zertifizierungsstelle. Bei StartSSL ist diese hier zu finden: http://www.startssl.com/certs/ca-bundle.pem.
Dieses habe ich in /etc/ssl/certs/ca-bundle.pem gespeichert und den folgenden Befehl ausgeführt:# c_rehash /etc/ssl/certs/
- ca.pem von der Zertifizierungsstelle. Bei StartSSL ist diese hier zu finden: http://www.startssl.com/certs/ca.pem. Gespeichert unter /etc/ssl/certs/ca.pem
- „Das Zertifikat“ in /etc/ssl/certs/ssl.crt gespeichert. Es hat folgendes Format:
-----BEGIN CERTIFICATE----- [TEXT] -----END CERTIFICATE-----
- „Den Schlüssel“ in /etc/ssl/private/ssl.key gespeichert. Er hat folgendes Format:
-----BEGIN RSA PRIVATE KEY----- [TEXT] -----END RSA PRIVATE KEY-----
- ca-bundle.pem von der Zertifizierungsstelle. Bei StartSSL ist diese hier zu finden: http://www.startssl.com/certs/ca-bundle.pem.
- Das Zertifikat und der Schlüssel wird folgendermaßen miteinander verbunden:
# cat /etc/ssl/certs/ssl.crt /etc/ssl/private/ssl.key >/etc/ssl/private/example.com.pem
- Den Courier POP3-Server konfiguriert (folgende Zeilen in /etc/courier/pop3d-ssl bearbeitet):
TLS_TRUSTCERTS=/etc/ssl/certs/ca.pem TLS_CERTFILE=/etc/ssl/private/example.com.pem
- Den POP-Server neu gestartet:
# /etc/init.d/courier-pop-ssl restart
Danach sollte Gmail wieder die Emails automatisch aus dem Postfach abholen.
Zum Debuggen kann man folgenden Befehl verwenden:
# openssl s_client -connect example.com:995
oder
# openssl s_client -connect example.com:995 -debug
Sollte der Fehler „unable to verify the first certificate“ auftreten, so wurde vermutlich Schritt 2.1 nicht richtig ausgeführt.
Viel Erfolg!
Schreibe einen Kommentar