Plesk 12.5 und älter
Die Erneuerung der SSL-Zertifiakte für SMTP, IMAP und POP3 Mailserver ist leider bei den älteren Pleskversionen vor Plesk Onyx nicht so ohne weiteres möglich. Etwas mehr Handarbeit ist erforderlich, sofern man/frau nicht sofort auf die neuste Pleskversion migrieren will. Für diese Übergangszeit hat sich für mich die untenstehende Vorgehensweis als praktikabel erwiesen.
Zwar lassen sich die Domain-Zertifikat inzwischen kostenlos und mit wenigen Mausklicks Dank Let’s Encript einrichten. Hierüber habe ich im Oktober 2016 eine Artikel erstellt: Kostenloses Domain SSL-Zertifikat Let’s Encrypt und Plesk 12.5 einrichten.
Leider ist das für Mailserver nicht so einfach möglich, da bei der Installation von Plesk ein Default-Zertifikat für alle E-Maildienste automatisch erstellt wird. Dies ist meist auf den Hostnamen, den Plesk bei der Installation automatisch ermittelt hat, ausgestellt. Dieses Zertifikat ist zudem selbstsigniert und die E-Mail-Clients zeigen demzufolge die entsprechenden Warnungen an. Außerdem läuft dieses Zertifikat irgendwann ab. Erst mit/ab Plesk Onyx geht die Erneuerung des Mail-Server-Zertifikate besser. Hier meine Vorgehensweise für die älteren Plesk-Installationen:
Best Practice
Mein Erfolgsmethode
1. Valides Zertifikat erzeugen
Sub-Domaine anlegen z.B. mail.deine-domaine.de
Dafür mit Let’s Encript, wie beschrieben, kostenloses valides Zertifikat für mail.deine-domaine.de erzeugen.
Und die Inhalte der Keys in eine ASCII-Datei z.B. zertifikat.pem kopieren:
-----BEGIN PRIVATE KEY----- MIIEvgIB .... vBtVADt -----END PRIVATE KEY----- -----BEGIN CERTIFICATE----- MIIGMDC .... CBRigAg== -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- MIIEkjCCA3 ... 6/DNFu0Q== -----END CERTIFICATE-----
2. Valides Zertifikat austauschen
Mit Hilfe eines SFTP-Tools (zum Beispiel mit WinSCP) mit root-Rechten am Mailserver anmelden und zum Speicherort des alten Zertifikates navigieren.
Je nach eigener Erfahrung, Einstellung, Arbeitsweise ggf. Unterordner mit Bakup-Kopie der *.pem-Datei anlegen.
Je nach verwendeter Linux-Distribution und dem verwendeten Mailserver unterscheiden sich die Speicherorte der Zertifikate. Hier einige Beispiele:
Postfix j
/etc/postfix/postfix_default.pem
Qmail
/var/qmail/control/servercert.pem
Dovecot j
/etc/dovecot/private/ssl-cert-and-key.pem
Mit Hilfe der Editor/Bearbeiten-Funktion den Dateiinhalt mit dem neuen validen Keyschlüsseln austauschen. (Kopieren: <ctrl>+<C> und Einfügen <ctrl>+<V>) und *.pem-Datei speichern.
3. Wirksamkeit
Dienste stoppen und neu starten oder Server neu starten.
Weiterer Text folgt …
Links zu ähnlichen Themen:
Neuen vServer von Server4You auf aktuellen Debian- und Plesk-Stand updaten
https://docs.plesk.com/de-DE/onyx/administrator-guide/websiteverwaltung/websites-und-domains/erweitert-websitesicherheit/sichern-von-verbindungen-mit-ssltlszertifikaten/abrufen-eines-kostenlosen-ssltlszertifikats-von-lets-encrypt.77233/
SSL-Zertifikate zum Schutz von E-Mails einbinden und weitere Vorteile von Plesk Onyx
Hinweis für gs
Postfix ja
/etc/postfix/postfix_default.pem
Dovecot ja
/etc/dovecot/private/ssl-cert-and-key.pem