Angesichts der aktuellen Entwicklungen im Internet ist es undenkbar geworden, seine Verbindungen nicht zu schützen.
Und genau hier kommt das Zertifikat als unverzichtbares Instrument ins Spiel, das es ermöglicht, eine wirksame Verschlüsselung der Verbindungen zu erreichen und sicherzustellen, dass alle Beteiligten mit ihrer wahren Identität unterwegs sind.
Let’s Encrypt gibt Zugang zu einem kostenlosen, von den Browsern anerkannten Zertifikat. Aus der DevOps-Perspektive besteht der Hauptvorteil von Let’s Encrypt in der vereinfachten Nutzung und der Automatisierung des teils komplexen Verwaltungsprozesses der Zertifikate.
Ab Version 4.7 von BlueMind wird das Zertifikat automatisch erstellt und installiert, vor allem aber automatisch erneuert – und nativ unterstützt. Ist das Zertifikat einmal eingerichtet, übernimmt BlueMind seine Verwaltung ohne Eingriffe von außen.
Sollten bei der Erneuerung des Zertifikats aus irgendeinem Grund Probleme auftreten, wird in den 5 Tagen vor seinem Ablauf täglich per E-Mail eine Warnung an die bei der Aktivierung von Let’s Encrypt angegebene Kontaktadresse gesendet.
Die Zertifikate sind auf allen Servern der BM-Installation verfügbar.
Let’s Encrypt und URLs nach Domain
Mit Domain-URLs können mehrere Clients oder Domains in einer BlueMind-Installation verwaltet werden, indem für jeden Client eine spezifische Verbindungs-URL angeboten wird. Für gemeinsam genutzte Plattformen hat dies gleich mehrere Vorteile:
- Der Hoster betreut nur eine einzige BlueMind-Installation,
- Jeder Client kann eine eigene Verbindungs-URL haben,
- Alles geht unabhängig von der BlueMind-Architektur (mit oder ohne Edge usw.) automatisch vonstatten. Dazu reicht es aus, dass die DNS auf dem neuesten Stand sind.
Verwendung
BlueMind hat immer eine globale Zugriffs-URL, die in der Systemkonfiguration der Admin-Konsole sichtbar ist. Weitere Informationen finden Sie in unserer technischen Dokumentation, Abschnitt 1.1, über die Konfiguration von externen URLs.
Im Bereich Ändern des Zertifikats der Admin-Konsole kann dieser URL ein Zertifikat zugeordnet werden. Einzelheiten sind in Abschnitt 4.1 und 4.2 auf dieser Seite über die Zertifikate für Version 4 von BlueMind zu finden.
Ab jetzt ist es möglich, für jede Domain eine externe URL einzurichten (Konfiguration von externen URLs, Abschnitt 2). Wenn eine Domain eine bestimmte URL hat, kann diese Domain ein eigenes Zertifikat erhalten (Abschnitt 4.3)
Wurde für eine Domain eine bestimmte URL angegeben, aber kein eigenes Zertifikat eingerichtet, so wird das globale Zertifikat verwendet.
In den Bildschirmen zur Zertifikatverwaltung (global oder pro Domain) kann ein Zertifikat als Datei eingestellt oder ein Zertifikat automatisch über Let’s Encrypt erhalten werden.
Dazu muss der Server, auf dem der bm-core-Dienst läuft, jedoch auf die URL Let’s Encrypt https://letsencrypt.org zugreifen können.
Einschränkungen und Regeln
- HTTPS: Das Zertifikat pro Domain wird nur für HTTP-Zugriffe (Web, API, MAPI usw.) verwendet.
- Auf IMAP/SMTP-Ebene wird immer das globale Zertifikat verwendet.
- Ab BlueMind 4.8 können zusätzliche DNS-Namen eingegeben werden. Let’s Encrypt generiert ein Zertifikat für die Gesamtheit dieser Namen. Dadurch können Namen definiert werden, die z. B. für die automatische MAPI-Konfiguration benötigt werden.
