WHS: Homeserverzertifikat mitbenutzen

serverIch benutze seit geraumer Zeit zum Backup meiner Heimcomputer den Windows Home Server. Eins der Neuerungen mit WHS 2011 ist, dass die Webseite ein offizielles Zertifikat von “Go Daddy” bekommt, dass auf den dynamischen DNS Eintrag vom WHS und somit von der offiziellen IP Adresse hört. Da die IP Adresse im allgemeinen per NAT am Router umgesetzt wird, teilen sich mehrere Computer diese externe IP und somit könnten auch mehrere Computer Dienste nach draußen anbieten und somit das Zertifikat teilen. Bis vor kurzen dachte ich, dass Zertifikat sei als nicht exportierbar markiert (was eigentlich aus MS Sicht mehr Sinn machen würde, da der Zertifikat eigentlich nur auf dem Homeserver sein muss).

Ein Freund hat mich dann darauf hingewiesen, dass man das Zertifikat sehr wohl exportieren kann. Auf Basis dieser Information schreibe ich hier eine kurze Anleitung wie man das Zertifikat exportieren, zu einem linuxkompatiblen Format umwandeln und dann in Dovecot als von extern erreichbarer IMAP Server einbinden kann.

1. Export

Zum Export meldet man sich einfach auf seinem Homeserver per RDP an. Dazu Administrator als Passwort und sein WHS Passwort verwenden.  Dort im Startmenü per Run/Ausführen mmc.exe starten. Unter File/Datei über Add/Remove Snap-in die Zertifikatskonsole (Certificates) hinzufügen und mit dem lokalen Computer verbinden. Das Zertifikat ist unter Personal\Certificates zu finden. Es sollte den DynDNS Namen des Homeservers haben und von “Go Daddy Secure Certfication Authority” stammen. Sind zwei Zertifikate dieser Art vorhanden, dann sollte man das nehmen, dass beim Zertifizierungspfad keine Fehler aufzeigt.

Im Kontextmenü des Zertifikats (Rechter Mausklick) wählt man über “Alle Tasks” den Punkt Export aus. Im Wizard bestätigt man, dass man den privaten Schlüssel mit exportieren möchte und wählt als Exportformat PFX aus und gibt ein Password ein. Die Datei liegt man an einem Ort ab, auf dem man später von außerhalb des Servers zugreifen kann (z.B. in einer Freigabe unter d:\ServerFolders\…)

2. Transfer zu Linux

Als nächsten Schritt muss man die Datei zu seinem Linuxsystem übertragen. Ich habe hierfür WinSCP verwendet.

3. Umwandlung

Im Allgemeinen ist auf Linux bereits OpenSSL installiert. Diese Software wird verwendet um das Zertifikat umzuwandeln. Dabei wird aus einem Schlüsselpaar eine Datei mit dem Zertifikat und eine Zweite mit dem privaten Schlüssel:

Erzeugen des Zertifikates:

openssl pkcs12 –in whs.pfx -clcerts -nokeys -out whscert.pem

Erzeugen des privaten Schlüssels:

openssl pkcs12 -in filename.pfx -nocerts -nodes -out whskey.pem

Beide Dateien muss man jetzt an einen Ort verschieben auf den Dovecot zugreifen kann. Es bietet sich /etc/ssl/private/ für den privaten Schlüssel und /etc/ssl/certs/ für das Zertifikat an.

4. Verwenden in Dovecot

In Dovecot kann man dieses Zertifikat jetzt wie jedes (z.B. das selbstsignierte) Zertifikat verwenden. In Dovecot 2.0 würde dies in der /etc/dovecot/dovecot.conf so aussehen:

ssl_cert = ssl_key = 
This entry was posted in Deutsch, WHS and tagged , , . Bookmark the permalink.