[..]

Generiert wird ein neues Zertifikat, das erst nach fünf Jahren abläuft:

• sudo cp /etc/ssl/private/ssl-cert-snakeoil.key /etc/ssl/private/ssl-cert-snakeoil.key-backup
• sudo cp /etc/ssl/certs/ssl-cert-snakeoil.pem /etc/ssl/certs/ssl-cert-snakeoil.pem-backup

• openssl genrsa -out server.key 1024
• openssl req -new -x509 -key server.key -out server.pem -days 1826

In das selbstsignierte Zertifikat werden nun die üblichen Parameter eingetragen (Country Code, Unternehmensname, Domain, Postmaster etc.).

• sudo mv server.key /etc/ssl/private/ssl-cert-snakeoil.key
• sudo mv server.pem /etc/ssl/certs/ssl-cert-snakeoil.pem
• sudo /etc/init.d/dovecot restart

Dovecot generiert nun /etc/ssl/certs/dovecot.pem und /etc/ssl/private/dovecot.pem, die noch gelöscht oder umbenannt werden müssen:

• sudo rm /etc/ssl/certs/dovecot.pem
• sudo rm /etc/ssl/private/dovecot.pem

Anschließend werden symbolische Links auf die neuen Zentifikat-Dateien angelegt:

• sudo ln -s /etc/ssl/certs/ssl-cert-snakeoil.pem /etc/ssl/certs/dovecot.pem
• sudo ln -s /etc/ssl/private/ssl-cert-snakeoil.key /etc/ssl/private/dovecot.pem

Quelle: http://www.kefk.org/blog

1. Das Zertifikat muss im DER-Format als *.crt Datei vorliegen
2. „openssl x509 -outform der -in cert.pem -out cert.crt“ wandelt das Zertifikat in das notwendige Format um
3. Dann das Zertifikat auf das Handy kopieren und die Datei im Dateimanager auf dem Handy öffnen
4. Ein Dialog öffnet sich und man kann das Zertifikat auf dem Handy installieren.
5. Danach nervt der Mail-Client nicht mehr!