zurück zum Artikel

Noch nie war es so einfach, mit einem Mac das eigene Postfach vom Provider nach Hause zu holen.

Mit Apples neuem Softwarepaket „Lion Server“, das online über den App Store für nur 40 Euro zu beziehen ist, kann man einen aktuellen Mac leicht zum Server für kleine und mittlere Arbeitsgruppen aufrüsten – Funktionsumfang, Schwächen und Stärken des umfangreichen Pakets haben wir ausführlich beschrieben ("Löwe im Netz", Mac OS X Lion Server, Mac & i Heft 3 [1], S. 82). Zum Diensteangebot gehört auch der Mail-Service, der aus sechs Kernelementen besteht (siehe Tabelle).

Apple nutzt für den Mail-Dienst gängige OpenSource-Software und mit einigem Know-how könnte man dieselbe Konfiguration auch in Eigenregie aufsetzen. Doch dass dafür reichlich Schweiß und Geduld erforderlich sind, zeigt schon ein flüchtiger Blick auf unseren Beitrag "Klärwerk – Mac als Mail-Server mit Spamfilter [2]", in dem wir eben dies vor Jahren vorexerziert hatten, als Apples Server-Software noch rund 500 Euro kostete.

Hingegen kann Apples Mail-Dienst dank eines ausgefuchsten Assistenten im besten Fall schon nach Sekunden betriebsbereit sein – zum Beispiel in Unternehmensumgebungen, in denen der Server-Mac über eine feste öffentliche IP-Adresse und eine Internet-Domain erreichbar ist. Wenn alle abgefragten Umgebungsparameter korrekt sind, hat der Assistent stillschweigend sogar schon individuelle und korrekte SSL-Zertifikate erzeugt, sodass man Mails über verschlüsselte Verbindungen auch aus dem Internet senden und empfangen kann.

Weil der Assistent aber nicht alle Szenarien berücksichtigen und nicht alle Bausteine der lokalen Netzwerk-Infrastruktur konfigurieren kann, muss man in vielen Fällen noch nachjustieren. Das ist etwa dann der Fall, wenn Sie Ihren Server an einem Privatkundenanschluss hinter einem Router mit Network Address Translation (NAT) im LAN betreiben.

Ausgehend von dieser Konfiguration zeigen wir, wie man der Lion-Server-Installation den Boden bereitet. Zusätzlich stellen wir vor, wie einfach es ist, Clients mittels des neuen Profilemanagers mit einer fertigen E-Mail-Konfiguration zu versorgen.

Im hinteren Teil des Beitrags geht es um Fälle, in denen die Startbedingungen für die Einrichtung unpassend waren, sodass eine fehlerhafte Installation vorliegt. Meist kann man die Fehler schon mit kleinen Eingriffen in die Router- und Serverkonfiguration beseitigen, teils muss man noch an die SSL-Zertifikate Hand anlegen. Falls also Ihr Lion Server bereits installiert ist, aber der Mail-Service zickt, prüfen Sie ab dem Abschnitt „Inspektion“, ob alle Elemente wie erforderlich eingerichtet sind. Wenn Sie aber den Server noch nicht eingerichtet haben – warten Sie damit.

Startvorbereitungen

Tragen Sie zunächst zusammen, auf welcher IP-Adresse der Server-Mac horcht und welchen Host- und Domain-Namen er nutzen soll. Unsere Beispielkonfiguration verwendet einen privaten DSL-Anschluss mit einer DynDNS-Domain namens kraftpost.no-ip.org.

Eine Internet-Domain mit DynDNS-Funktion kann man über Dienstleister wie no-ip.com [3], dyn.com [4] oder xname.org [5] kostenlos registrieren. Legen Sie dafür nach der Anmeldung einen neuen Hostnamen an. Diesen Namen setzt man später in der Server-Konfiguration als Internet-Domain-Namen ein – also etwa kraftpost.no-ip.org. Schalten Sie beim gewählten Anbieter für den neu registrierten Host den Mail-Dienst ein (MX-Eintrag). Bei no-ip.com trägt man ganz unten auf der Seite für die Host-Einrichtung unter „MX Record“ den neuen Hostnamen ein, also beispielsweise kraftpost.no-ip.org. Manche DynDNS-Betreiber bieten diese Option nur im Rahmen von kommerziellen Angeboten.

Stellen Sie im Router in dessen DynDNS-Konfiguration Ihre Zugangsdaten zum DynDNS-Anbieter sowie den Hostnamen ein, damit der Router IP-Adressänderungen an Ihrem Anschluss umgehend beim DynDNS-Provider meldet und so der Domain-Name stets zu Ihrer aktuellen IP-Adresse aufgelöst wird. Falls Ihr Router keinen DynDNS-Client an Bord hat oder keinen passenden zum gewählten Dienst, gibt es vom DynDNS-Anbieter Clients für die Installation auf Ihrem Server-Mac. Beispielsweise gehört Apples AirPort-Router zu den wenigen, die keinen DynDNS-Client an Bord haben.

Fester Wohnsitz

Ordnen Sie Ihrem Server-Mac im Router möglichst eine feste private IP-Adresse zu – bei vielen Routern lässt sich dafür die MAC-Adresse einer LAN-Station fest an eine IP-Adresse binden. Tragen Sie dann auf dem Mac in „Systemeinstellungen“, „Freigaben“ den Gerätenamen ein. In unserem Beispiel setzen wir an dieser Stelle kraftpost ein.

Wechseln Sie dann in den Bereich „Netzwerke“ und öffnen Sie dort die Schnittstelle, über die der Mac mit dem Router gekoppelt ist. Klicken Sie rechts unten auf „Weitere Optionen“ und dann auf „DNS“. Tragen Sie im Bereich „Such-Domain“ eine Domain ein – wir setzen im Beispiel no-ip.org ein. Das ist zwar ein bisschen gemogelt, denn die Domain no-ip.org gehört uns ja nicht, aber solange der automatisch mit eingerichtete DNS-Server im Caching-Only-Betrieb verbleibt, geht das – die Domain-Information verbleibt im LAN und richtet keinen Unfug an.

Wenn Sie eine reguläre Domain betreiben, etwa gesicherte-bank.de, dann ist es natürlich völlig korrekt, diese als die Such-Domain einzutragen. Bei DynDNS-Domains ist man jedoch ebenfalls zu diesem Vorgehen gezwungen, weil der Einrichtungsassistent aus beiden Parametern, dem Gerätenamen und der Such-Domain, den kompletten Internet-Domain-Namen automatisch bildet und dann damit auch die SSL-Zertifikate ausstellt.

Katzentüren

Damit der Mail-Server aus dem Internet erreichbar ist, muss er über drei Ports ansprechbar sein. Auf dem Server-Mac öffnet die Server.app diese Ports automatisch und stillschweigend beim Einschalten des Mail-Dienstes. Weil der Server-Mac durch die Network Address Translation des Routers vom Internet getrennt ist, muss man noch die entsprechenden Ports im Router öffnen und zum Server-Mac weiterleiten (Port-Forwarding).

Für die Weiterleitung gibt es je nach Router-Modell zwei Verfahren: Bei Apples Time-Capsule- oder AirPort-Routern geht das bequem aus der Server.app heraus. Bei handelsüblichen Routern muss man die Weiterleitung per Hand eintragen. Leiten Sie dafür die TCP-Ports 25, 143 und 587 zu Ihrem Server-Mac weiter. Wie das bei Ihrem Router geht, entnehmen Sie bitte der Bedienungsanleitung. Wenn Sie Webmail nicht nur im LAN, sondern auch aus dem Internet nutzen möchten, leiten Sie zusätzlich den Port 443 zu Ihrem Server-Mac.

Über Port 25 stellen andere Mail-Server die Post für lokale Benutzer zu. Den TCP-Port 587 muss man öffnen, damit reisende Server-Nutzer Mails versenden können, beispielsweise über Smartphones. Für den SSL-verschlüsselten Zugriff auf Postfachinhalte ist der TCP-Port 993 üblich. Apple setzt jedoch abweichend davon den normalerweise für unverschlüsselten IMAP-Zugriff verwendeten Port 143 auch für IMAP-SSL-Verbindungen ein.

Um die Weiterleitung auf einem Router von Apple einzurichten, schalten Sie zunächst über das AirPort-Dienstprogramm das NAT Portmapping Protocol ein (in der Symbolleiste „Internet“ im Bereich „NAT“). Nach dem nächsten Neustart des Routers erkennt Server.app einen konfigurierbaren AirPort-Router und blendet ihn im Bereich „Hardware“ ein – klicken Sie drauf und wählen Sie aus dem Menü den Mail-Dienst aus. Server.app fragt dann das Passwort für den Router ab und richtet alle für den Mail-Dienst erforderlichen Portweiterleitungen selbstständig ein. Die Weiterleitungen lassen sich ebenso per Mausklick wieder zurücknehmen.

Countdown

Damit sind die Vorarbeiten abgeschlossen. Wenn noch nicht geschehen, laden Sie nun Apples Lion Server aus dem App Store. Damit kommt zunächst nur das Installationsprogramm auf Ihren Rechner; Sie finden es im Programme-Ordner unter dem Namen Server.app. Legen Sie sicherheitshalber von Server.app eine Kopie auf einem anderen Laufwerk an, um im Fehlerfalle neu starten zu können, denn jede Kopie führt die Installationsroutine nur beim ersten Start aus.

Starten Sie nun Server.app – das Programm lädt alle Serverbestandteile inklusive der Mail-Elemente aus dem Internet und passt sie in Grundzügen aufeinander und Ihre Umgebung an. Um einen Dienst in Betrieb zu nehmen, genügt anschließend ein einziger Mausklick. Wenn die Grundeinstellungen des Mac korrekt sind, haben Sie sich damit viel Tipparbeit erspart und können schon loslegen: klicken Sie auf „Mail“, stellen Sie sicher, dass im Bereich „Provide mail for” die Domain korrekt eingetragen ist (im Beispiel kraftpost.no-ip.org) und klicken Sie oben rechts auf „On“.

Wenige Sekunden später startet dovecotd, der IMAP- und POP-Server, sowie die Postfix-Zentrale master und man findet beide in der „Aktivitätsanzeige“ (Ansicht auf „Alle Prozesse“ umschalten).

Post im Browser

Zumindest während der ersten Testphase im LAN empfiehlt es sich, auch den Webmail-Dienst einzuschalten. So können Server-Nutzer mit einem üblichen Browser auf Mails zugreifen – das ist praktisch, wenn die Einrichtung von Mail-Clients noch nicht fertig ist. Diese wie auch alle übrigen Optionen lassen sich nachträglich ausschalten.

Über „Edit Filtering Settings“ stellt man den Viren- und den Spam-Filter ein. Unserer Erfahrung nach lohnt es sich, den Virenfilter und die Blacklist-Option einzuschalten. Bei der Blacklist-Option genügt es, das Häkchen zu setzen – daraufhin trägt Server.app den Dienstleister zen.spamhaus.org selbstständig in das zuvor leere Feld ein.

Wenn Sie den Spam-Filter einschalten, sollten Sie die Filterschärfe zumindest während der Erprobungsphase von „Aggressiv“ auf „Mittel“ herabsetzen, um die Wahrscheinlichkeit zu senken, dass erwünschte Nachrichten als Spam einsortiert werden. Nur wenn bei dieser Einstellung dauerhaft zu viel Müll durchrutscht, sollte man die Filterschärfe höher drehen.

Lion-Clients einrichten

Für erste Gehversuche starten Sie auf einem Client-Mac im LAN zunächst Safari und geben Sie die Web-Adresse Ihres Server-Mac ein. Wenn die neue Seite geladen ist, klicken Sie unten auf „Mail“ und geben Sie den Namen und das Passwort eines auf dem Server eingetragenen Nutzers ein. Jetzt kann man über das Webmail-Interface Mails senden und empfangen. Wenn das klappt, schreiten Sie zur Client-Einrichtung.

Alle Mail-Clients kann man wie üblich komplett manuell einrichten – dafür braucht man außer dem Benutzernamen und -passwort die Server-Adresse (kraftpost.no-ip.org) und die Kommunikationsports: TCP 143 für den Postfachzugriff mittels IMAP und TCP 587 für den Versand per SMTP. An beiden Ports erwartet der Server SSL-verschlüsselten Verkehr, die Authentifizierung läuft mittels MD5 Challenge Response. Mit diesen Daten lassen sich beliebige, für die genannten Verfahren ausgelegte Clients per Hand einrichten.

Zu beachten ist noch, dass der Mail-Server für den IMAP-SSL-Zugriff nicht den üblichen TCP-Port 993 verwendet – das ist aber die Einstellung, die die Einrichtungsassistenten von Mail-Clients wie Thunderbird vergeblich versuchen werden. Am besten brechen Sie in diesem Fall die Autokonfigurationsversuche ab und tragen TCP-Port 143 und SSL per Hand ein.

Für Server-Nutzer, die Client-Macs mit dem aktuellen Betriebssystem Lion verwenden, kann man Apple Mail natürlich auch zu Fuß einrichten. Deutlich einfacher geht das aber über den Profile Manager des Servers. Dieser hat auch noch den Vorteil, dass Änderungen anderer Server-Konfigurationen – etwa File-Sharing oder VPN – gleich per Push Notification an die Clients gemeldet werden können.

Für die Push Notifications braucht man ein von Apple ausgestelltes Zertifikat: Klicken Sie in Server.app im Bereich „Hardware“ auf den lokalen Server und dann auf „Einstellungen“ und „Apple Push Notifications aktivieren“. Geben Sie nach Aufforderung Ihre Apple-ID und das zugehörige Passwort ein – kurz darauf lädt der Server-Mac sein individuelles Zertifikat von Apples Server und richtet es selbstständig ein. Im Postfach, das mit der Apple-ID assoziiert ist, finden Sie eine Nachricht von Apple, für welche Dienste das Zertifikat ausgestellt ist.

Schalten Sie anschließend im Bereich „Services“ den „Profile Manager“ ein. Warten Sie kurz, bis er läuft (während des Starts blendet das Programm unten rechts „starting Profile Manager“ ein). Server.app hat nun ein Profil für die Mail-Konfiguration der Client-Macs angelegt und eingetragene Server-Nutzer können es über den Browser herunterladen.

Selbstbedienung

Um das zu testen, geben Sie auf einem Client-Mac in Safari die Web-Adresse Ihres Servers ein; im Beispiel setzen wir „kraftpost.no-ip.org/profilemanager“ ein. Authentifizieren Sie sich nach Aufforderung mit dem auf dem Server eingetragenen Passwort. Der Browser öffnet daraufhin die Seite „Meine Geräte“.

Wenn Sie unter dem Profil „Settings for Everyone“ auf „Inhalte einblenden“ klicken, sollte dort das Maildienst-Profil aufgeführt werden. Apple nennt es nach dem darin konfigurierten Protokoll schlicht IMAP.

Laden Sie das Profil auf den Mac herunter, indem Sie auf „Installieren“ klicken. Es landet im Ordner Download – öffnen Sie es. Nun startet das Programm „Systemeinstellungen“ und zeigt einen Installationsdialog. Wenn Sie auf „Profil einblenden“ klicken, verrät die Software einige Details zu den Einstellungen. Klicken Sie danach auf „Fortfahren“.

Der Profil-Inhalt ist mit dem Zertifikat des Servers gegen Fälschung gesichert. Wenn Sie ein selbst signiertes Zertifikat verwenden, moniert das der Client-Mac nun zu Recht, weil ihm der Herausgeber des Zertifikats unbekannt ist – aber weil es von Ihrem eigenen Server ausgestellt ist, können Sie es gefahrlos übernehmen. Klicken Sie dafür auf „Fortfahren“ und geben Sie den Benutzernamen sowie das Kennwort eines auf dem Server-Mac registrierten Benutzers ein und klicken Sie auf „Installieren“. Die Systemeinstellungen legen nun in Apple Mail ein Konto für den Zugriff auf Ihren Mail-Server an. Mit Profilen kann man beliebig experimentieren, sie lassen sich auf den Client-Macs in den Systemeinstellungen nach Belieben löschen.

Wenn der Client-Mac Zugang zum Internet hat, kann Apple Mail ab sofort Mails über den Server-Mac senden und abrufen. Zu beachten ist, dass für das selbst signierte Mail-Server-Zertifikat keine Richtlinie auf dem Client-Mac eingerichtet ist. Das installiert man üblicherweise beim ersten Kontakt mit dem Mail-Server – wenn also Apple Mail nach dem Verbindungsversuch das Zertifikat moniert, blenden Sie es ein und stellen Sie sicher, dass es Ihr Server-Zertifikat ist. Bei unserer Beispielkonfiguration setzt man dafür „beim Verbinden mit ‚kraftpost.no-ip.org’ immer vertrauen“ ein Häkchen. Schalten Sie dann auf „Verbinden“ und geben Sie im nächsten Dialog das lokale Passwort ein, damit das Server-Zertifikat gespeichert und eine zugehörige Richtline eingetragen wird – fertig.

Sendungsverfolgung

Für die Wartung des Servers hat Apple der Server.app kaum Funktionen mitgegeben. Grundlegende Kontroll- und Korrekturmöglichkeiten für den Mail-Dienst liefert erst das Programm Server-Admin [6]. Über „Mail“, „Maintenance“, „Mail Queue“ kann man etwa den Grund für hängen gebliebene Mails finden, diese gegebenenfalls neu auf den Weg schicken oder löschen.

Darüber hinaus lässt sich dort auch die Relay-Konfiguration bearbeiten, man kann den Notfallempfänger für unzustellbare Mails eintragen, den POP-Service abschalten, Virus- und Spam-Filterregeln noch detaillierter einstellen, Quotas, Logging und Authentifizierungsverfahren festlegen und Diverses andere mehr.

Aber wenn es knirscht, kommt man wie bei anderen Servern nicht um die Kommandozeile und das Lesen von System-Log-Files herum. Mit dem Dienstprogramm „Konsole“ hat Apple immerhin einen leistungsfähigen Log-Viewer mitgeliefert, über den sich in der aktuellen Version auch das Terminal und die Aktivitätsanzeigen öffnen lassen. Ein Teil der Mail-Protokolle landet wie üblich in /var/log/mail.log, der Rest steht in /var/system.log.

Der Lion Server verwendet mit Dovecot, Postfix, SpamAssassin, Amavis und ClamAV etablierte OpenSource-Programme für die Mail-Dienste. Die Bearbeitung der zugehörigen Konfigurationsdateien setzt die üblichen Admin-Kenntnisse voraus – man findet sie in den üblichen Unix-Pfaden – also etwa in /etc/dovecot oder /etc/postfix. Allerdings sollte man sich dann von den grafischen Frontends verabschieden, weil man Gefahr läuft, dass sie beim nächsten Start die händischen Anpassungen rückgängig machen oder Unfug anrichten.

Inspektion

Wenn die automatische Konfiguration des Mail-Servers missglückt ist, sodass sich Mails schon über das Webmail-Interface nicht abrufen oder senden lassen, sollte man die Konfiguration Schritt für Schritt von Grund auf überprüfen.

Testen Sie im Terminal mit dem Befehl hostname, ob der lokale Hostname-Eintrag korrekt ist. In unserer Beispielkonfiguration liefert der Befehl die Antwort kraftpost.no-ip.org. Testen Sie bei aufgebauter Internet-Verbindung, ob der DynDNS-Eintrag vorhanden ist und zur aktuellen öffentlichen IP-Adresse Ihres Routers aufgelöst wird (z. B. dig kraftpost.no-ip.org). Die öffentliche IP-Adresse verrät Ihnen die Web-Seite heisenetze.de/tools/ip. Falls Sie die Internet-Verbindung gerade neu aufgebaut haben, beachten Sie, dass das DynDNS-System IP-Adressänderungen erst nach rund einer Minute korrekt wiedergibt.

Kontrollieren Sie das Port-Forwarding Ihres Routers. Prüfen Sie, ob die Weiterleitung tatsächlich auf die IP-Adresse Ihres Server-Macs zielt. Die aktuelle IP-Adresse finden Sie in „Systemeinstellungen“, „Netzwerk“.

Wenn alle Einstellungen korrekt sind, abgeschickte Mails aber nicht ankommen: Manche Mail-Service-Betreiber lehnen Mails ab, die von Anschlüssen mit dynamisch zugeteilten IP-Adressen stammen (z. B. manche Strato-Server). Probieren Sie in diesem Fall die Relay-Funktion Ihres Servers aus. Dabei werden abzuschickende Mails nicht direkt an den zuständigen Empfänger-Mail-Server zugestellt, sondern über vermittelnde Server von Dienstleistern wie Telekom, Web.de oder Netbeat.

Der Relay-Dienst ist meist nicht kostenlos, aber beispielsweise bei Netbeat im Rahmen üblicher Domain-Angebote enthalten. Um ihn zu nutzen, ist lediglich eine Authentifizierung erforderlich. Ein Beispieleintrag in Server.app sieht so aus: mail.netbeat.de, User, Testpasswort – zur Authentifizierung trägt man also genau die Credentials ein, die auch Mail-Clients wie Thunderbird benutzen, um Mails zum Beispiel über Netbeat abzuschicken.

Der Relay-Trick klappt aber nicht grundsätzlich. Manche Relay-Betreiber prüfen zunächst einen Blacklist-Filter, bevor sie eine Mail weiterbefördern. Auf solchen Filterlisten sind auch dynamisch vergebene IP-Adressen eingetragen, sodass man etwa von Privatkundenanschlüssen der Telekom den Relay-Dienst von Netbeat nicht nutzen kann. Diese Ausschlussregel schützt lediglich die Pfründe der Telekom und verstößt gegen die RFC-Regeln.

Falls Beschwerden beim Relay-Betreiber nicht weiterhelfen, muss man sich einen anderen suchen – oder auf einen DSL-Anschluss mit fester öffentlicher IP-Adresse umsteigen. Der Vorteil, den ein solcher Anschluss bei geschäftlicher Nutzung eines Mail-Servers bietet, dürfte die Mehrkosten rechtfertigen; die Relay-Funktion braucht man damit ja nicht. Beispielsweise hat QSC mit QDSL-Office solche Angebote ab rund 40 Euro pro Monat im Programm, kostenlose Domains mit beispielsweise .de-Endung inklusive.

SSL-Reparatur

In vielen Netzwerken, die mittels einer Network Adress Translation vom Internet abgeschottet sind, dürften die SSL-Zertifikate des Mail-Servers fehlerhaft sein. Solche LANs haben oftmals gar keine Domain-Definition oder der Router-Hersteller hat per DHCP seine eigene provisorische ausgeteilt und der Server-Mac hat sie übernommen. Beispielsweise verteilt die in Deutschland sehr verbreitete Fritz!Box im LAN grundsätzlich den Suchdomain-Eintrag „fritz.box“. Betreiber von größeren Netzwerken nutzen hingegen im LAN oftmals andere Domains als nach außen hin. In diesen Fällen sind die automatisch erzeugten Zertifikate auf einen falschen Namen ausgestellt und daher Makulatur.

Auf welchen Namen die Zertifikate ausgestellt sind, verrät die Server.app, wenn man im Bereich Hardware auf den Servernamen klickt und dann im Bereich „Einstellungen“ auf „Zertifikat“ – als Dateinamen setzt die Server.app nämlich geschickterweise gleich den kompletten Domain-Namen ein, sodass die Zuordnung sofort klar ist.

Wenn die Zertifikate auf einen falschen und möglicherweise generischen Namen ausgestellt sind, beispielsweise auf lionserver.fritz.box, können Angreifer ihren Mail-Serverbenutzern leicht vorgaukeln, dass sie mit Ihrem Mail-Server verbunden sind und auf diese Weise etwa Passwörter für den Mail-Server-Zugang erschleichen.

Um neue SSL-Zertifikate zu erzeugen, stellen Sie zunächst den Geräte- und Domain-Namen korrekt ein. Öffnen Sie dafür die Server.app und klicken Sie im Bereich „Netzwerk“ auf „Bearbeiten“. Nun startet ein Assistent, der die Variablen für den „Hostnamen für das Internet“ abfragt und in den meisten relevanten Dateien einträgt – beispielsweise auch im lokalen DNS-Nameserver. Leider belässt es der Assistent beim ursprünglich automatisch erstellten SSL-Zertifikat und baut kein neues (siehe /etc/certificates/), sodass sich Server-Dienste weiterhin mit dem alten Namen melden, der von den Clients zu Recht moniert wird. Man muss also ein neues Zertifikat per Hand zusammenklicken. Aber das schadet nicht, denn das automatisch erzeugte gilt ohnehin nur für ein Jahr.

Defektes Zertifikat

Klicken Sie in Server.app auf den lokalen Server und dann auf „Einstellungen“ und „SSL-Zertifikat bearbeiten“. Es erscheint ein neuer Dialog, in welchem Sie links unten aufs Getrieberad klicken und im Menü „Zertifikate verwalten“ wählen. Klicken Sie auf das „+“-Zeichen und anschließend auf „Zertifikatidentität erstellen“.

Stellen Sie sicher, dass im Feld „Name“ der Internet-Host-Name korrekt eingetragen ist (also etwa kraftpost.no-ip.org). Im Menü Identitätstyp sollte „Root, selbst-signiert“ und im Menü Zertifikatstyp „SSL-Server“ ausgewählt sein.

Klicken Sie nun auf „Standardwerte überschreiben“ und auf „Erstellen“. Geben Sie im nächsten Dialog die Seriennummer (z.B. 1) und die Gültigkeit ein (z.B. 3650 Tage) und klicken Sie auf „Fortfahren“.

Tragen Sie im Feld „E-Mail-Adresse“ eine gültige Adresse ein, beispielsweise dz@kraftpost.no-ip.org. Übernehmen Sie die übrigen Einträge. Über „Fortfahren“ gelangen Sie zu den „Informationen zum Schlüsselpaar“. Übernehmen Sie die Einstellungen (2048 Bit und RSA) mit „Fortfahren“.

Stellen Sie bei der „Schlüsselverwendung“ sicher, dass „Erweiterung ‚Schlüsselverwendung’ einschließen“, „Erweiterung ist kritisch“ und „Signatur“ angeklickt sind.

Die Vorgaben des nächsten Dialogs namens „Erweiterung ‚Erweiterte Schlüsselverwendung’“ kann man komplett übernehmen, schalten Sie aber unbedingt den „E-Mail-Schutz“ ein. Weiter sind eingeschaltet: „Erweiterung ‚Erweiterte Schlüsselverwendung’“, „Erweiterung ist kritisch“, „Beliebig“, „SSL Server-Authentifizierung“, „PKINIT-Server-Authentifizierung“ und „iChat-Verschlüsselung“. Die übrigen Optionen bleiben deaktiviert. Klicken Sie auf „Fortfahren“ und schalten Sie die Optionen „Erweiterung Grundlegende Einschränkungen einschließen“ sowie „Dieses Zertifikat als Zertifizierungsinstanz verwenden“ ein (so erzeugen Sie nebenbei Ihre eigene Certificate Authority, CA).

Über „Fortfahren“ landen Sie beim Dialog „Erweiterung ‚Alternativer Name des Inhabers’“. Die Option „Erweiterung ‚Alternativer Name des Inhabers’ einschließen“ sollte angeklickt sein und im Feld dNSSname sollte der Internet Host Name und im Feld iPAddress die private IP-Adresse des Lion-Servers stehen (z.B. 192.168.72.109). Klicken Sie auf „Fortfahren“. Wenn alles geklappt hat, erscheint als Nächstes der Dialog „Zusammenfassung“ – klicken Sie auf „Fertig“.

Kurze Zeit später fordert Server.app auf, das neue Zertifikat an seinen Platz zu exportieren; erlauben Sie das. Anschließend hat der Server die Zertifikate in das Verzeichnis /etc/certificates kopiert. Klicken Sie in Server.app auf „OK“.

Wenn Sie nun unter „SSL-Zertifikat“ auf „Bearbeiten“ klicken, können Sie im nächsten Dialog das neue Zertifikat den Serverdiensten zuordnen – also auch IMAP-Mail und SMTP-Mail. Wenn andere Dienste ebenfalls SSL-verschlüsselt kommunizieren sollen, dann stellen Sie für diese ebenfalls per Menü das neue Zertifikat ein.

Aber Vorsicht: zugleich wird damit auch der jeweilige Dienst fest auf die SSL-Kommunikation eingestellt und er ist dann nicht mehr über nichtverschlüsselnden Verkehr erreichbar. Der Web-Server etwa hört also nicht mehr auf Port 80, sondern nur per SSL auf Port 443. Klicken Sie am Ende der Zertifikatseinstellungen auf OK, um die Einstellungen zu übernehmen. Nun sollte Server.app das neue Zertifikat in seinen Menüs aufführen. Falls nicht: Server.app neu starten.

Siehe dazu auch:

• Advanced Administration Handbook [7]
• Privacy-Patch für die IPv6-Settings [8]

(dz [9])

URL dieses Artikels:
https://www.heise.de/-1371972

Links in diesem Artikel:
[1] http://www.heise.de/mac-and-i/heft/?ausgabe=2096
[2] http://www.heise.de/artikel-archiv/ct/2008/13/202_kiosk
[3] http://no-ip.com
[4] http://dyn.com
[5] http://xname.org
[6] http://support.apple.com/kb/DL1419?viewlocale=de_DE
[7] https://help.apple.com/advancedserveradmin/mac/10.7/#
[8] ftp://ftp.heise.de/pub/ct/listings/1118-154.zip
[9] mailto:dz@ct.de

Copyright © 2011 Heise Medien