Jump to content
Froxlor Forum
  • 0
Macca

Let´s Encrypt Cert Hostname DOES NOT VERIFY

Question

Hallo erstmal,

ich habe Let´s Encrypt in Froxlor eingerichtet bekommen und soweit ist auch alles ok.

Wenn ich folgenden Test starte "https://www.checktls.com/TestReceiver" habe ich eine Unstimmigkeit:

"Cert Hostname DOES NOT VERIFY (mail.domaine.de != domaine.de | DNS:domaine.de | DNS:www.domaine.de)"
So email is encrypted but the host is not verified"

Mein MX Record = mail.domaine.de

Was kann ich tun um das Problem bei Mails mit dem Hostname zu lösen?

 

Danke vorab schonmal!

   
     

Share this post


Link to post
Share on other sites

20 answers to this question

Recommended Posts

  • 0

Eh, MX record interessiert froxlor halt auch nicht...dein mailserver hat in der froxlor standardconfig als hostnamen auch den froxlor-systemhostnamen den du bei der installation angegeben hast, aktiviere halt Let's Encrypt auch für froxlor selbst (Einstellungen -> Froxlor Vhost-Einstellungen) und nutze das erstellte Zertifikat auch im Postfix/Dovecot (machen viele inkl. mir so)

Share this post


Link to post
Share on other sites
  • 0
vor 59 Minuten schrieb d00p:

Eh, MX record interessiert froxlor halt auch nicht...dein mailserver hat in der froxlor standardconfig als hostnamen auch den froxlor-systemhostnamen den du bei der installation angegeben hast, aktiviere halt Let's Encrypt auch für froxlor selbst (Einstellungen -> Froxlor Vhost-Einstellungen) und nutze das erstellte Zertifikat auch im Postfix/Dovecot (machen viele inkl. mir so)

"Let's Encrypt für den froxlor Vhost verwenden" ist erledigt

"und nutze das erstellte Zertifikat auch im Postfix" Falls Du damit meinst das ich die "main.cf" anpassen soll, das ist auch erledigt, jedoch passt woh der Hostname noch nicht " mail.domaine.de != domaine.de | DNS:domaine.de | DNS:www.domaine.de " oder verstehe ich Dich falsch?

 

" Hostname Mismatch "

https://de.ssl-tools.net/mailservers/mail.cq-pc-doc.de

Share this post


Link to post
Share on other sites
  • 0

Und nochmal: mail.[froxlor.hostname] kennt froxlor halt nicht, es steht natürlich nicht im certificate. Dann passe doch den Hostname in Postfix einfach an.

Share this post


Link to post
Share on other sites
  • 0
vor einer Stunde schrieb d00p:

Und nochmal: mail.[froxlor.hostname] kennt froxlor halt nicht, es steht natürlich nicht im certificate. Dann passe doch den Hostname in Postfix einfach an.

Habe ich schon, die Meldung kommt weiterhin. ich habe das in der "main.cf"  angepasst, ändert aber nichts.

Share this post


Link to post
Share on other sites
  • 0

Im (Mail)Client muss natürlich als Server auch eine Domain eingetragen werden die im Zertifikat steht, falls du da (via MX beim Client.setup) vllt noch Mail.domain.tld stehen hast

 

Share this post


Link to post
Share on other sites
  • 0
vor 49 Minuten schrieb d00p:

Im (Mail)Client muss natürlich als Server auch eine Domain eingetragen werden die im Zertifikat steht, falls du da (via MX beim Client.setup) vllt noch Mail.domain.tld stehen hast

 

Ich glaube wir schreiben aneinander vorbei!? Es geht nicht darum was ich in einem Mailclienten eingetragen habe, sonder wie das Ergebnis bei dem Zertifikatstest ist.

Wenn ich diesen Test "https://de.ssl-tools.net/mailservers/mail.cq-pc-doc.de" mit meiner Domaine ausführe, dann steht an erster Stelle bei der Zertifikatskette "Hostname Mismatch". Was genau kann ich tun um das zu beseitigen?

hostname_mismatch.jpg.ad07d59d688d551954b5a607386d1904.jpg

 

 

Und bei diesem test "https://www.checktls.com/TestReceiver" steht im Protokoll unter anderem

"Cert Hostname DOES NOT VERIFY (mail.cq-pc-doc.de != cq-pc-doc.de | DNS:cq-pc-doc.de | DNS:www.cq-pc-doc.de)
So email is encrypted but the host is not verified"

hostname.jpg.65e7e4aca7fb52b12a1a951ed672d0ed.jpg

Share this post


Link to post
Share on other sites
  • 0

...also

1) DNS

d00p@nutimed:~$ dig cq-pc-doc.de MX
;; ANSWER SECTION:
cq-pc-doc.de.        86400    IN    MX    10 mail.cq-pc-doc.de.
 

2) IMAP

d00p@nutimed:~$ openssl s_client -crlf -connect cq-pc-doc.de:993

sagt du nutzt ein von dovecot erstelltes zertifikat:
---
Certificate chain
 0 s:/O=Dovecot mail server/OU=@commonName@/CN=@commonName@/emailAddress=@emailAddress@
   i:/O=Dovecot mail server/OU=@commonName@/CN=@commonName@/emailAddress=@emailAddress@
---

Da solltest du also schonmal das korrekte Zertifikat überhaupt mal einbinden
 

3) SMTP (scheint korrekt)

d00p@nutimed:~$ openssl s_client -crlf -connect cq-pc-doc.de:25 -starttls smtp
---
Certificate chain
 0 s:/CN=cq-pc-doc.de
   i:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
 1 s:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
   i:/O=Digital Signature Trust Co./CN=DST Root CA X3
---

 

Sprich: dovecot certificate korrigieren und nicht irgendwelche webtools zum teste nutzen sondern openssl oder einfach direkt nen email client wo man die Domain und ports anständig eintragen kann

Share this post


Link to post
Share on other sites
  • 0
vor 5 Stunden schrieb d00p:

...also

1) DNS

d00p@nutimed:~$ dig cq-pc-doc.de MX
;; ANSWER SECTION:
cq-pc-doc.de.        86400    IN    MX    10 mail.cq-pc-doc.de.
 

2) IMAP

d00p@nutimed:~$ openssl s_client -crlf -connect cq-pc-doc.de:993

sagt du nutzt ein von dovecot erstelltes zertifikat:
---
Certificate chain
 0 s:/O=Dovecot mail server/OU=@commonName@/CN=@commonName@/emailAddress=@emailAddress@
   i:/O=Dovecot mail server/OU=@commonName@/CN=@commonName@/emailAddress=@emailAddress@
---

Da solltest du also schonmal das korrekte Zertifikat überhaupt mal einbinden
 

3) SMTP (scheint korrekt)

d00p@nutimed:~$ openssl s_client -crlf -connect cq-pc-doc.de:25 -starttls smtp
---
Certificate chain
 0 s:/CN=cq-pc-doc.de
   i:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
 1 s:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
   i:/O=Digital Signature Trust Co./CN=DST Root CA X3
---

 

Sprich: dovecot certificate korrigieren und nicht irgendwelche webtools zum teste nutzen sondern openssl oder einfach direkt nen email client wo man die Domain und ports anständig eintragen kann

Done

Habe dovecot korrigiert und mein Thunderbird nutzt auch gleich das richtige. Was kann ich von der Meldung auf dem Bild halten?

" Cert Hostname DOES NOT VERIFY (mail.cq-pc-doc.de != cq-pc-doc.de | DNS:cq-pc-doc.de | DNS:www.cq-pc-doc.de)
So email is encrypted but the host is not verified "?

Danke Dir

Share this post


Link to post
Share on other sites
  • 0
4 hours ago, Macca said:

Was kann ich von der Meldung auf dem Bild halten?

Na genau das was da steht, irgendwo benutzt du halt wohl noch mail.cq-pc-doc.de und dafür ist das certificate nunmal nicht ausgestellt

Share this post


Link to post
Share on other sites
  • 0
vor 7 Stunden schrieb d00p:

Na genau das was da steht, irgendwo benutzt du halt wohl noch mail.cq-pc-doc.de und dafür ist das certificate nunmal nicht ausgestellt

Mein MX Record. Ich habe das Zertifikat schon neu ausstellen lassen, aber ändert sich nichts.

Wie genau sollte ich denn vorgehen um das in Ordung zu bringen?

Danke Dir, wo kann ich spenden?

Share this post


Link to post
Share on other sites
  • 0

Wenn dein MX record mail.domain ist, dann muss auch dein postfix/dovecot hostname auf mail.domain stehen und dann muss auch ein zertifikat für diese domain ausgestellt sein.

Spenden: froxlor.org, runterscrollen, da sind buttons

Share this post


Link to post
Share on other sites
  • 0
vor 25 Minuten schrieb d00p:

Wenn dein MX record mail.domain ist, dann muss auch dein postfix/dovecot hostname auf mail.domain stehen und dann muss auch ein zertifikat für diese domain ausgestellt sein.

Spenden: froxlor.org, runterscrollen, da sind buttons

Das ist soweit klar, nur wie bekomme ich mein Zertifikat dazu auch "mail." zu nutzen? Die Zertifikate sind ja nun ausgestellt und gültig, ich müsste doch im Prinzip nochmal von vorne beginnen!?

Spende ist raus.

Share this post


Link to post
Share on other sites
  • 0

Du könntest doch z.b. mail.domain.tld als domain in froxlor anlegen und dir als kunden zuweisen, ganz normal ssl aktivieren und ein let's encrypt certificate dafür beantragen und das halt in den mail-diensten nutzen

Share this post


Link to post
Share on other sites
  • 0
Am 11.5.2018 um 19:56 schrieb d00p:

Du könntest doch z.b. mail.domain.tld als domain in froxlor anlegen und dir als kunden zuweisen, ganz normal ssl aktivieren und ein let's encrypt certificate dafür beantragen und das halt in den mail-diensten nutzen

So, hatte erst jetzt wieder Zeit.

Ich habe die Domaine so angelegt, leider kommt eine Fehlermeldung wenn ich das Zertifikat beantrage.

Could not get Let's Encrypt certificate for mail.cq-pc-doc.de: Verification ended with error: {"identifier":{"type":"dns","value":"www.mail.cq-pc-doc.de"},"status":"invalid","expires":"2018-05-22T16:52:11Z","challenges":[{"type":"http-01","status":"invalid","error":{"type":"urn:acme:error:dns","detail":"DNS problem: NXDOMAIN looking up A for www.mail.cq-pc-doc.de","status":400},"uri":"https:\/\/acme-v01.api.letsencrypt.org\/acme\/challenge\/xR7k__K3gIgtKhvnuMK7gqa1Zsn_xRDmC5O1zfxIFTw\/4657485677","token":"pWtGPBzSRNiDMshoDZck3AqisrnDiJX6rPibJnjjIT8","keyAuthorization":"pWtGPBzSRNiDMshoDZck3AqisrnDiJX6rPibJnjjIT8.h1K0aSy2nSPL98IrO3SMMm_oF1PWBKyVk1apGwSCbYY","validationRecord":[{"url":"http:\/\/www.mail.cq-pc-doc.de\/.well-known\/acme-challenge\/pWtGPBzSRNiDMshoDZck3AqisrnDiJX6rPibJnjjIT8","hostname":"www.mail.cq-pc-doc.de","port":"80"}]},{"type":"dns-01","status":"invalid","uri":"https:\/\/acme-v01.api.letsencrypt.org\/acme\/challenge\/xR7k__K3gIgtKhvnuMK7gqa1Zsn_xRDmC5O1zfxIFTw\/4657485678","token":"eMpWBL6uh7BRZrOPiGIRh2zQ1fIJ6A25kBV5r47W8EM"}],"combinations":[[1],[0]]}

[Lets Encrypt self-check] Please check http://www.mail.cq-pc-doc.de/.well-known/acme-challenge/pWtGPBzSRNiDMshoDZck3AqisrnDiJX6rPibJnjjIT8 - token seems to be not available. This is just a simple self-check, it might be wrong but consider using this information when Let's Encrypt fails to issue a certificate

Das hatte ich  auch bei den anderen Domains und aus mir nicht erklärbaren Gründen hats dann bei den anderen Domains irgendwann funktioniert.

Ausserdem ist die Zeit im System-Log in Froxlor immer um 2 Stunden versetzt. Meine Serverzeit stimmt, habe ich schon geprüft.

Share this post


Link to post
Share on other sites
  • 0

Ganz einfach, www.mail.cq-pc-doc.de löst nicht auf (DNS), setz in den Domain-Einstellungen den Alias auf "Kein Alias", sonst macht er ja einen www-Alias und der kommt auch ins Zertifikat, was er dann wiederum nicht erstellen kann, wenn www.mail.cq-pc-doc.de nicht auf eine IP auflöst

Share this post


Link to post
Share on other sites
  • 0
vor 1 Stunde schrieb d00p:

Ganz einfach, www.mail.cq-pc-doc.de löst nicht auf (DNS), setz in den Domain-Einstellungen den Alias auf "Kein Alias", sonst macht er ja einen www-Alias und der kommt auch ins Zertifikat, was er dann wiederum nicht erstellen kann, wenn www.mail.cq-pc-doc.de nicht auf eine IP auflöst

Oh man, ich Idiot! Hat funktioniert.

Andere Frage noch, bei den gestrigen versuchen hat sich seltsamerweise nur 1 Zertifikat von 4 erneuert und steht auf "Valid from 15.05.2018", die anderen haben das alte Erstelldatum behalten, wie kommt das?

Hast Dufile auch noch eine Idee zu meiner 2ten Frage " Ausserdem ist die Zeit im System-Log in Froxlor immer um 2 Stunden versetzt. Meine Serverzeit stimmt, habe ich schon geprüft. "?

Vielen Dank!

Share this post


Link to post
Share on other sites
  • 0
49 minutes ago, Macca said:

Andere Frage noch, bei den gestrigen versuchen hat sich seltsamerweise nur 1 Zertifikat von 4 erneuert und steht auf "Valid from 15.05.2018", die anderen haben das alte Erstelldatum behalten, wie kommt das?

vllt sind sie noch lang genug gültig? K.A. vllt gab es auch einen fehler beim erneuern, musst du in die log gucken

49 minutes ago, Macca said:

Hast Dufile auch noch eine Idee zu meiner 2ten Frage " Ausserdem ist die Zeit im System-Log in Froxlor immer um 2 Stunden versetzt. Meine Serverzeit stimmt, habe ich schon geprüft. "?

von welcher log genau sprichst du? Wenn du vllt den Timestamp aus den Let's Encrypt Fehlermeldungen meinst, die sind sicher UTC...alles andere ist entweder system oder php-sache

Share this post


Link to post
Share on other sites
  • 0

Dann ist erstmal alles gut und ich warte mal bis das erste Zertifikat automatisch verlängert wird. Was empfiehlst Du beim "Intervall" des Cronjob für die Zertifikate einzustellen (wieviele Tage)?

Share this post


Link to post
Share on other sites
  • 0

Am besten einfach auf default lassen (glaub alle 5 Minuten) - der Cron selektiert sowieso selbst die die für nen renew in Frage kommen

Share this post


Link to post
Share on other sites
  • 0
vor 3 Stunden schrieb d00p:

Am besten einfach auf default lassen (glaub alle 5 Minuten) - der Cron selektiert sowieso selbst die die für nen renew in Frage kommen

Na wenn das so passt, dann alle 5 Minuten. Ich wollte nur nicht das ich durch zu häufiges Anfragen eine "Rate Limits" Regel brechen.

https://letsencrypt.org/docs/rate-limits/

Vielen Dank, Daumen hoch und weiter so!

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now



×