SSL- und TLS-Verschlüsselung zur Sicherung externer Verbindungen

SSL- und TLS-Verschlüsselung zur Sicherung externer Verbindungen#

Eine Allegra-Instanz kommuniziert mit anderen Rechnern entweder als Server oder als Client. Für diese Kommunikation sollten immer verschlüsselte Verbindungen verwendet werden. Damit wird verhindert, dass Kennwörter oder andere sensible Informationen im Klartext über das Firmennetzwerk oder das Internet übertragen werden.

Offizielle und selbst-signierte Zertifikate#

Die Absicherung der Datenverbindungen erfolgt in der Regel über Protokolle, die Zertifikate nutzen. Es gibt zwei Arten von Zertifikaten:

  1. Zertifikate von einer offiziellen Zertifizierungsstelle

  2. Selbst signierte Zertifikate

Die offiziellen Zertifikate können ohne weitere Konfiguration von vielen Clients verifiziert werden. Die offiziellen Aussteller sind alle in den modernen Browsern und auch in Java hinterlegt.

Installation selbst-signierter Zertifikate#

Verwenden Sie selbst signierte Zertifikate, müssen diese den jeweiligen Clients als vertrauenswürdig bekannt gemacht werden. Dazu werden die Zertifikate im Betriebssystem des Clients oder der Java Virtual Machine des Clients installiert.

Allegra nimmt für folgende Verbindungen eine Client-Rolle ein:

  1. Verbindung zu einem E-Mail-Server zum Senden von E-Mails

  2. Verbindung zu einem E-Mail-Server zum Empfangen von E-Mails

  3. Verbindung zu einem Verzeichnisserver (optional)

Wenn Sie ein selbstsigniertes Zertifikat oder ein Zertifikat von einer Zertifizierungsstelle verwenden, die Ihr System nicht kennt, müssen Sie das Zertifikat, das Ihren E-Mail-Server identifiziert, in Ihrem lokalen Allegra Keystore installieren. Sie müssen wie folgt vorgehen:

  1. Besorgen Sie sich ein Zertifikat von Ihrem E-Mail-Server. Wie Sie dies tun, hängt von Ihrem Server ab. Sie können Ihren Provider bitten, Ihnen dieses Zertifikat zu geben. Das Zertifikat ist in der Regel an eine bestimmte Internetadresse gebunden, z. B. Ihre.domain.com.

  2. Importieren Sie das Zertifikat mit dem Dienstprogramm „keytool“, das mit jeder Java-Installation geliefert wird, in Ihren lokalen Keystore:

mkdir <ALLEGRA_HOME>/keystore

keytool -keystore <ALLEGRA_HOME>/keystore
                            /<your.domain.com>.ks
        -import -file theServersCertificate.cer

Die Keystore-Datei muss sich im Verzeichnis ALLEGRA_HOME/keystore befinden. Wie Sie ALLEGRA_HOME konfigurieren können, erfahren Sie im Allegra Benutzerhandbuch. Die Keystore-Datei selbst muss die Endung ks haben und der Basisname sollte dem Hostnamen des E-Mail-Servers entsprechen. Die Zertifikatsdatei, die Sie im obigen Beispiel von Ihrem Provider erhalten haben, heißt theServersCertificate.cer.

Wenn Sie Probleme mit dem obigen Ansatz haben oder TLS-verschlüsselte Verbindungen anstelle von SSL verwenden möchten, müssen Sie selbst erstellte Zertifikate direkt in den Java Keystore importieren. Wechseln Sie in das bin-Verzeichnis der Java-Laufzeitumgebung, die von Ihrem Anwendungsserver (z. B. Tomcat) verwendet wird, und importieren Sie das Zertifikat wie folgt (hier für ein Windows-System):

cd $JAVA_HOME\bin

keytool -import -alias <alias> -file theServersCertificate.crt
                -keystore ..\lib\security\cacerts

Sie werden aufgefordert, ein Passwort einzugeben. Wenn es nicht von der Voreinstellung geändert wurde, ist es „changeit“.