Durchsuchbare Dokumentation aufrufen

Zurück zur Dokumentationsübersicht

SSL-Zertifikat für IMAP SSL einrichten

Für die Verbindung mit einem E-Mail-Server über IMAP (SSL) benötigt die agorum core Java-Maschine ein Zertifikat.

Das Zertifikat erstellen /exportieren

Erstellen Sie auf dem E-Mail-Server, der mit agorum core verbunden werden soll, ein Zertifikat und exportieren Sie es als cer-File: DER-Kodiert (X.509). Den Export können Sie über verschiedene Zertifizierungsdienstleister durchführen lassen.

Sie können das Zertifikat auch direkt vom Server beziehen:

  1. Führen Sie diesen Befehl aus: 
    openssl s_client -showcerts -connect mail-server.domain.de:993
  2. Speichern Sie das Zertifikat in eine Datei und importieren Sie die Datei.

    Verwenden Sie das Intermediate- oder Root-Zertifikat der Zertifizierungskette, sofern möglich. So müssen Sie das Zertifikat bei einer Erneuerung nicht neu einspielen.

    Beispiel 
    -----BEGIN CERTIFICATE----- 
MIIGJ......
-----END CERTIFICATE-----

Hinweis: Der Name des Zertifikats und der Servername des E-Mail-Servers müssen identisch sein.

Das Zertifikat in den agorum core server integrieren

  1. Importieren Sie das Zertifikat mithilfe des keytools in einen truststore für agorum core

    Das keytool finden Sie unter: 
    <agorum core Installationspfad>/java/bin
  2. Kopieren Sie den vorhandenen truststore von Java an den gewünschten Zielort.

    Unter Linux 
    /root/.truststore

    Unter Windows 
    c:\windows\system32\config\systemprofile\.truststore

    Den vorhandenen truststore finden Sie unter: 
    <Installationspfad von agorum core>/java/jre/lib/security/cacerts
  3. Kopieren Sie die Datei cacerts mit dem neuen Namen .truststore in das unter Schritt 2 angegebene Zielverzeichnis.
  4. Für die folgenden Aktionen geben Sie das Standardpasswort für den agorum core keystore ein: 
    changeit
  5. Geben Sie folgenden Befehl in das keytool ein und ersetzen Sie die blau markierte Parts durch eigene Angaben:

    Unter Windows 
    keytool -import -alias <SERVERNAME des E-Mail-Servers> -file <PFAD-ZUR-CER-DATEI> -keystore c:\windows\system32\config\systemprofile\.truststore

    Unter Linux 
    ./keytool -import -alias <SERVERNAME des E-Mail-Servers> -file <PFAD-ZUR-CER-DATEI> -keystore /root/.truststore

    TippPrüfen Sie, welcher Java keystore verwendet wird.

  6. Fügen Sie im Start-Skript des Applikationsservers (roi_jboss) unterhalb von JAVA_OPTS=... Folgendes hinzu:

    Unter Windows 
    set JAVA_OPTS=%JAVA_OPTS% -Djavax.net.ssl.trustStore=c:\windows\system32\config\systemprofile\.truststore

    Unter Linux 
    JAVA_OPTS="$JAVA_OPTS -Djavax.net.ssl.trustStore=/root/.truststore"
  7. Starten Sie agorum core neu.

Hinweis: Das Start-Skript des Applikationsservers ist Folgendes:

<Installtionspfad von agorum core>/scripts/roi_jboss<.bat für Windows>

Wenn Sie Probleme mit SSL-Zertifikaten haben

Warning: Der JKS-Keystore verwendet ein proprietäres Format

Diese Fehlermeldung kann erscheinen, wenn Sie einen Zimbra-E-Mail-Server mit Version 8.8 verwenden und Sie ein dort hinterlegtes E-Mail-Konto per SSL abrufen.

Fehlermeldung nach Ausführung der Schritte in dieser Dokumentation

Warning: Der JKS-Keystore verwendet ein proprietäres Format. Es wird empfohlen, auf PKCS12 zu migrieren, das ein Industriestandardformat mit "keytool -importkeystore -srckeystore /root/.keystore -destkeystore /root/.keystore -deststoretype pkcs12" ist.

Ignorieren Sie diese Fehlermeldung, da der Abruf trotzdem funktioniert. Führen Sie die empfohlene Konvertierung auf pcks12 aus, zerstören Sie sich die eben durchgeführte Konfiguration. Es erscheint danach folgende Fehlermeldung:

"java.security.InvalidAlgorithmParameterException: the trustAnchors parameter must be non-empty"