Der Dovecot IMAP/POP3-Server istalliert standardmäßig ein Zertifikat, das nach einem Jahr ausläuft. Um das Zertifikat zu erneuern, sind folgende Schritte erforderlich.

Das "Howto" bezieht sich auf Ubuntu, es funktioniert jedoch auch unter Debian GNU/Linux. Nicht bekannt ist, ob es sich hierbei um eine empfohlene oder empfehlenswerte Vorgehensweise handelt. Bei einem produktiven Server sind die folgenden im Ubuntu-Forum vorgeschlagenen Schritte noch auf eventuelle Sicherheitsaspekte zu prüfen.

Generiert wird ein neues Zertifikat, das erst nach fünf Jahren abläuft:

• sudo cp /etc/ssl/private/ssl-cert-snakeoil.key /etc/ssl/private/ssl-cert-snakeoil.key-backup
• sudo cp /etc/ssl/certs/ssl-cert-snakeoil.pem /etc/ssl/certs/ssl-cert-snakeoil.pem-backup

• openssl genrsa -out server.key 1024
• openssl req -new -x509 -key server.key -out server.pem -days 1826

In das selbstsignierte Zertifikat werden nun die üblichen Parameter eingetragen (Country Code, Unternehmensname, Domain, Postmaster etc.).

• sudo mv server.key /etc/ssl/private/ssl-cert-snakeoil.key
• sudo mv server.pem /etc/ssl/certs/ssl-cert-snakeoil.pem
• sudo /etc/init.d/dovecot restart

Dovecot generiert nun /etc/ssl/certs/dovecot.pem und /etc/ssl/private/dovecot.pem, die noch gelöscht oder umbenannt werden müssen:

• rm /etc/ssl/certs/dovecot.pem
• rm /etc/ssl/private/dovecot.pem

Anschließend werden symbolische Links auf die neuen Zentifikat-Dateien angelegt:

• ln -s /etc/ssl/certs/ssl-cert-snakeoil.pem /etc/ssl/certs/dovecot.pem
• ln -s /etc/ssl/private/ssl-cert-snakeoil.key /etc/ssl/private/dovecot.pem

Netmarks

• How to renew an expired Dovecot IMAP/POP3 SSL certificate (Ubuntuforums.org, February 25th, 2008)
• www.openssl.org/docs