Bei 1und1 gibt es, je nach gewähltem Paket, zum root-Server auch ein SSL-Zertifikat zur verschlüsselten Datenübertragung ohne weitere Kosten dazu. Im 1&1-Control-Center lässt sich dies unter der "Server-Verwaltung" entsprechend ordern und ist nach ein paar Stunden voll einsatzfähig.
Auf die wichtigsten Punkte, z.B. die Einrichtung einer ssladmin-Emaidresse und dem Speichern des Public-Keys auf der eigenen Festplatte, wird hingewiesen. Bitte auch daran denken, für welche Domain bzw. Subdomain (mit und ohne www ist hier ein wesentlicher Unterschied) das Zertifikat ausgestellt werden soll; es kann im Übrigen pro IP-Adresse nur lediglich ein Zertifikat eingesetzt werden.

Hat man den Public-Key sowie den CRT-Teil (kommt per Email an die ssladmin-Adresse) einmal parat, beginnt die Suche in den 1&1-FAQ nach dem "Wie mach’ ich nun weiter?". Ich fass’ das hier mal kurz zusammen! Das Einspielen für den Einsatz zur verschlüsselten Übertragung von Webseiten-Inhalten, also von https-Verbindungen, geht noch leicht per Plesk von der Hand.

Als Admin auf der Plesk-Oberfläche einloggen und unter Server\Zertifikate die beide Schlüsselteile hoch laden und dem ganzen einen schönen Namen verpassen. Nun noch das neue „richtige Zertifikat“ zum Standard machen und an eine IP binden. Letzters findet man unter Server\IPs.
Das war’s auch schon!
Ein Aufruf von der für das Zertifikat verwendeten und natürlich vorher eingerichteten Domain (z.B. https://secure.example.org) führt nun ohne "Zwischenmeldung des Browsers" zu einer gesicherten Verbindung. Ein Doppelklick im Firefox auf das Sicherheitssymbol führt zu weiteren Zertifikats-Details (in anderen Browsern wird das ähnlich gehandhabt).

Etwas anders sieht es aus, wenn man den Emailverkehr per SSL-Zertifikat absichern möchte. Warum es hierfür (noch) kein buntes Plesk-Bildchen mit entsprechender Funktionalität gibt, weiß ich auch nicht. Die Lösung findet sich also auf der Kommandozeile:
Mit dem Putty auf den Server connecten und als root folgende Anpassungen vornehmen:

Als erstes die alten Schlüssel einmal sichern, spart ein Haufen Arbeit, falls etwas nicht so klappt wie gewünscht.

cp /var/qmail/control/servercert.pem /var/qmail/control/servercert.pem.old
cp /usr/share/courier-imap/imapd.pem /usr/share/courier-imap/imapd.pem.old
cp /usr/share/courier-imap/pop3d.pem /usr/share/courier-imap/pop3d.pem.old

Nun per Copy & Paste die neuen Schlüssel in die 3 genannten Dateien eintragen; ich verwende hierfür den Midnight Commander (zeilenweise mit [STRG]+[Y] löschen und dann mit [SHIFT]+[EINFG] die Inhalte in die nun leere Datei kopieren). Die Kommentare in den Schlüsseln nicht einfach weg lassen und am Ende eine zusätzliche Leerzeile einfügen. Ihr könnt die beide Teile natürlich auch auf den Server laden und per „cat &> co“ in die entsprechenden Dateien verbiegen. Mir missfällt es allerdings, Kopien von SSL-Zertifikaten irgendwo herum liegen zu lassen…

—–BEGIN PRIVATE KEY—–
IcdQIBADANBgknClH114sPHFVTfKsGxeksUpwD1rPfqhki
…
…
v2Eud2S59Cnjh9v6cYOoQQxjWzZ779DdXRFofASsx8sngx
—–END PRIVATE KEY—–
—–BEGIN CERTIFICATE—–
NbgkqhkiG9w0BAmL3vAqqVNTBO1MGKYZck2WcGMFdQEFAA
…
…
Sz4kUZg0UEHuwaV7kvd2eXCS4s5GC1qra3t9GKHYhyr5RR
—–END CERTIFICATE—–

Noch ein Neustart von Qmail und Courier und die Mails nehmen ihre Reise vom Mailserver zum Email-Client über eine verschlüsselte Verbindung auf.

/etc/init.d/courier-imap restart
/etc/init.d/qmail restart

Am Email-Client (Outlook, Thunderbird oder was auch immer bei euch eingesetzt wird) sind natürlich noch Änderungen an den Server-Einstellungen nötig.
Als Servername wird nun die für das Zertifikat verwendete Domain verwendet. Um bei diesem Beispiel zu bleiben also „secure.example.org“. Für SMTP und POP3 wird als Verschlüsselung SSL gewählt und bei den Ports müssen 465 für SMTP bzw. 995 für POP3 eingetragen werden.

Letztere sollten natürlich auch auf der Firewall zugelassen sein, dies bitte nicht vergessen! Wichtig könnte auch im Kalender ein dickes rotes Kreuz werden, denn das Zertifikat beläuft sich auf ein Jahr Gültigkeit und muss rechtzeitig verlängert werden.