Courier verwendet standardmäßig ein Zertifikat, das bei der Installation erzeugt wird. Möchte man ein eige-
nes Zertifikat generieren, geht man folgendermassen vor:
Editieren Sie die Konfigurationsdatei /etc/courier/imapd.cnf (analog für pop3 /etc/courier/pop3d.cnf) und ersetzen Sie die vorgegebenen Werte durch Ihre eigenen. Anschliessend können die Zertifikate durch mkimapdcert (bzw. mkpop3dcert) erzeugen. Diese werden im Verzeichnis /usr/lib/courier erstellt
und müssen anschliessend nach /etc/courier/ verschoben werden. Sie heißen imapd.pem (bzw. pop3d.pem).
IMAP:
# vi /etc/courier/imapd.cnf
# mkimapdcert
# cd /usr/lib/courier
# mv imapd.pem /etc/courier
# ln -s /etc/courier/imapd.pem imapd.pem
# /etc/init.d/courier-imap restart
POP3:
# vi /etc/courier/pop3d.cnf
# mkpop3dcert
# cd /usr/lib/courier
# mv pop3d.pem /etc/courier
# ln -s /etc/courier/pop3d.pem pop3d.pem
# /etc/init.d/courier-pop restart
Falls beim Erzeugen des Zertifikats ein Fehler ausgegeben wird, dass das zu generierende Zertifikat schon existiert, löschen Sie einfach das Standardzertifikat.
Courier Zertifikat erneuern
Die Zertifikate sind per Default nur ein Jahr gültig. Nach Ablauf der Frist oder besser noch vorher müssen diese erneuert werden. Zuerst löscht man den symbolischen Link auf die alte Zertifikat, erstellt anscchliessend ein neues Zertifikat und kopiert dieses wie oben beschrieben wieder ins richtige Verzeichnis.
# rm /usr/lib/courier/imapd.pem
# mkimapdcert
# mv /etc/courier/imapd.pem /etc/courier/imapd.pem.alt
# mv /usr/lib/courier/imapd.pem /etc/courier/imapd.pem
# ln -s /etc/courier/imapd.pem /usr/lib/courier/imapd.pem
# /etc/init.d/courier-imap restart
Nach einem Neustart ist alles wieder im Lot. Das POP3 Zertifikat wird analog erstellt.
# rm /usr/lib/courier/pop3d.pem
# mkpop3dcert
# mv /etc/courier/pop3d.pem /etc/courier/pop3d.pem.alt
# mv /usr/lib/courier/pop3d.pem /etc/courier/pop3d.pem
# ln -s /etc/courier/pop3d.pem /usr/lib/courier/pop3d.pem
# /etc/init.d/courier-pop restart
Zertifikate erstellen, die mehr als 1 Jahr gültig sind
Um Zertifikate zu erstellen, die länger als ein Jahr gültig sind, muss man die Shellscripte /usr/sbin/mkimapdcert oder /usr/sbin/mkpop3dcert abändern.
# cat /usr/sbin/mkimapdcert
#! /bin/sh
…
/usr/bin/openssl req -new -x509 -days 365 -nodes \
-config /etc/courier/imapd.cnf -out /usr/lib/courier/imapd.pem
-keyout /usr/lib/courier/imapd.pem || cleanup
…
Einfach die Anzahl Tage auf den gewünschten Wert setzen und das Zertifikat nochmals erstellen.