Postfix:Certificat--> Outlook-Warnung unterdrücken

[Massio]

Hallo,
ich habe Postfix, Dovecote installiert und alles funktioniert gut.
Bei der Installtion habe ich ein "Certificate" erstellt:

Code: Select all

openssl req -new -outform PEM -out smtpd.cert -newkey rsa:2048 -nodes -keyout smtpd.key -keyform PEM -days 365 -x509
Angaben zum Beispiel:
DE
Hamburg
Hamburg
Name-Team
Email Services
Name-Team.de
info@Name-Team.de

Wenn ich Outlook als Client benutze, gibt mir Outlook folgende Meldung:

Code: Select all

Internet security warning
The server you are connected to is using a security certificate that could not be verified.
A certificate chain processed, but terminated in a root certificate which is 
not trusted by the trust provider.
Do you want to continue using this server?

Wie kann ich diese Warnung beseitigen, bzw. unterdrücken?

Ich habe fast alles was im Internet zu finden ist aus probiert, Certicate unter Windows installiert oder unter "Internet Explorer -> Security"-> Don't prompt for client certificate section when no certificates or only one certificate exists.
Oder aus einem Forum wie folgt, extra für Outlook:

Code: Select all

openssl pkcs12 -export -in smtpd.crt -inkey smtpd.key -out OutlookSMTP.p12

Then import the OutlookSMTP.p12 file into the Trusted Root Certification Authorities store within Internet
Explorer (Tools -> Internet Options -> Content -> Certificates, or by just double-clicking it). You will then be
free to establish an SSL connection within Outlook to enforce tighter security.

Ich komme einfach nicht mehr weiter!
Kann mir jemand einen Tipp geben, wie kann ich diese Meldung entkommen?

Vielen Dank im Voraus,

Gruß

[Joe User]

Du lässt Dein Zertifikat am Besten von einer von Windows als vertrauenswürdig eingestuften CA signieren, kostet ein paar Euro, dafür hast Du für einen gewissen Zeitraum Ruhe.

Alternativ und kostenlos, dafür komplizierter umzusetzen:
Du gründest Deine eigene CA und importierst dann Dein Root-Certificate in Windows. Ist aber nicht für Jeden zu empfehlen und bedeutet auch etwas mehr Verantwortung.

[Massio]

Hallo,
danke für die Antwort.
okay, wenn ich keine Alternative finde werde ich es tun.
Wie oft muss man so ein "Certificate" kaufen? Geht es, wenn man es einmal kauft, auf dem Server Postfix gibt, dann auf Clients (verschieden Windows-System) pro Mail-Account eine Kopie vom "Certificate"-Datei installieren würde?

Denn es geht eigentlich um ein Projekt, daher sollte diese Warnung möglichst unterdrückt werden.

Ich weiß nicht, ob (Postfix-)Dovecote ohne "Certificate" arbeiten würde, sonst würde ich vielleicht so eine Lösung bevorziehen.

Gruß

[Joe User]

SSL-Zertificate werden im Regelfall für eins, zwei oder drei Jahre vergeben.

Man kann auch kostenlose Zertifikate bekommen, muss aber mit einer geringeren Sicherheit und eventuellen Kompatibilitätsproblemen rechnen.
http://www.startssl.com/?app=1
http://www.cacert.org/

[daemotron]

Wenn es nur darum geht, die Fehlermeldung loszuwerden, dann eine freie CA wie CAcert verwenden und deren Stammzertifikat importieren (das geht unter Windows). Das ist für die meisten Zwecke nicht schlechter / weniger sicher(1) als kommerzielle Zertifikate, kostet aber nix und ist einfacher zu handhaben als eine eigene CA.

(1) Verifizierung von 2nd Level Domains ist genauso gut oder schlecht wie bei den meisten Einstiegsangeboten der etablierten CAs, Verifizierung von Personendaten für persönliche Zertifikate ist deutlich strenger als bei den meisten Einstiegsangeboten.

[Massio]

Hallo,
danke für die Anworten.
Ich habe mich dazwischen bei StartSSL registriert und habe ein "Certificate-Class1", (kostenlos) erhalten und installiert.

Fast alles ist gelungen, bis auf Dovecot.
Leider konnte ich Dovecot nicht beibringen das neue "Certificate" zu benutzen.
Naja, es scheint sehr einfach zu sein, (http://wiki.ubuntuusers.de/Dovecot), den alten Pfad durch den
neuen Pfad zu ersetzen. Ich habe es aber trotzdem (seit drei Tagen ) nicht erfolgreich installieren können.

Also, eher werde ich dann Postfix und Dovecot ohne SSL-Zertifikat installieren müssen (Ich hoffe, dass es mir gelingt).
Oder
Ich bin Zufällig über diese Seite http://wiki.ubuntuusers.de/CA gestolpert.

Code: Select all

Wer also mehrere Dienste für mehrere Leute anbietet, z.B. in einem
Firmen-Intranet, der möchte sich vielleicht selber seine eigene CA gründen.
Dann muss man nur das eine CA-Root-Zertifikat auf allen potentiellen Clients
installieren (bzw. zum Download anbieten, wenn die Benutzer keine Computer-
Laien sind,) und alle Dienste funktionieren ohne das misstrauenerweckende
Warnfenster.

Weiß jemand, wie ist es tatsächlich gemeint? "openssl" habe ich doch schon installiert, und benutze ich es.
Sind die Zertifikate gemeint, die man z.B. selbst bei der Installation von Pstfix oder Dovecot erstellt? Oder ist es etwas anderes gemeint?

Ich hoffe, dass ich eines Tages die Warnungen ausrotten kann!

Gruß

[Joe User]

Ist zwar nur ein vermutlich schnell wieder verschwindendes Blog, aber es erklärt das Ganze halbwegs Anfängerfreundlich (bitte lokal archivieren):
http://sandboxblog.de/startssl-zertifik ... verwenden/
Pfade und Dateinamen bitte selbstständig an den eigenen Bedarf anpassen.