Let´s Encrypt Cert Hostname DOES NOT VERIFY

[Macca]

Hallo erstmal,

ich habe Let´s Encrypt in Froxlor eingerichtet bekommen und soweit ist auch alles ok.

Wenn ich folgenden Test starte "https://www.checktls.com/TestReceiver" habe ich eine Unstimmigkeit:

"Cert Hostname DOES NOT VERIFY (mail.domaine.de != domaine.de | DNS:domaine.de | DNS:www.domaine.de)"
So email is encrypted but the host is not verified"

Mein MX Record = mail.domaine.de

Was kann ich tun um das Problem bei Mails mit dem Hostname zu lösen?

 

Danke vorab schonmal!

[d00p]

Ganz einfach, www.mail.cq-pc-doc.de löst nicht auf (DNS), setz in den Domain-Einstellungen den Alias auf "Kein Alias", sonst macht er ja einen www-Alias und der kommt auch ins Zertifikat, was er dann wiederum nicht erstellen kann, wenn www.mail.cq-pc-doc.de nicht auf eine IP auflöst

[Macca]

vor 1 Stunde schrieb d00p:

Ganz einfach, www.mail.cq-pc-doc.de löst nicht auf (DNS), setz in den Domain-Einstellungen den Alias auf "Kein Alias", sonst macht er ja einen www-Alias und der kommt auch ins Zertifikat, was er dann wiederum nicht erstellen kann, wenn www.mail.cq-pc-doc.de nicht auf eine IP auflöst

Oh man, ich Idiot! Hat funktioniert.

Andere Frage noch, bei den gestrigen versuchen hat sich seltsamerweise nur 1 Zertifikat von 4 erneuert und steht auf "Valid from 15.05.2018", die anderen haben das alte Erstelldatum behalten, wie kommt das?

Hast Dufile auch noch eine Idee zu meiner 2ten Frage " Ausserdem ist die Zeit im System-Log in Froxlor immer um 2 Stunden versetzt. Meine Serverzeit stimmt, habe ich schon geprüft. "?

Vielen Dank!

[d00p]

49 minutes ago, Macca said:

Andere Frage noch, bei den gestrigen versuchen hat sich seltsamerweise nur 1 Zertifikat von 4 erneuert und steht auf "Valid from 15.05.2018", die anderen haben das alte Erstelldatum behalten, wie kommt das?

vllt sind sie noch lang genug gültig? K.A. vllt gab es auch einen fehler beim erneuern, musst du in die log gucken

49 minutes ago, Macca said:

Hast Dufile auch noch eine Idee zu meiner 2ten Frage " Ausserdem ist die Zeit im System-Log in Froxlor immer um 2 Stunden versetzt. Meine Serverzeit stimmt, habe ich schon geprüft. "?

von welcher log genau sprichst du? Wenn du vllt den Timestamp aus den Let's Encrypt Fehlermeldungen meinst, die sind sicher UTC...alles andere ist entweder system oder php-sache

[Macca]

Dann ist erstmal alles gut und ich warte mal bis das erste Zertifikat automatisch verlängert wird. Was empfiehlst Du beim "Intervall" des Cronjob für die Zertifikate einzustellen (wieviele Tage)?

[d00p]

Am besten einfach auf default lassen (glaub alle 5 Minuten) - der Cron selektiert sowieso selbst die die für nen renew in Frage kommen

[Macca]

vor 3 Stunden schrieb d00p:

Am besten einfach auf default lassen (glaub alle 5 Minuten) - der Cron selektiert sowieso selbst die die für nen renew in Frage kommen

Na wenn das so passt, dann alle 5 Minuten. Ich wollte nur nicht das ich durch zu häufiges Anfragen eine "Rate Limits" Regel brechen.

https://letsencrypt.org/docs/rate-limits/

Vielen Dank, Daumen hoch und weiter so!

[d00p]

Eh, MX record interessiert froxlor halt auch nicht...dein mailserver hat in der froxlor standardconfig als hostnamen auch den froxlor-systemhostnamen den du bei der installation angegeben hast, aktiviere halt Let's Encrypt auch für froxlor selbst (Einstellungen -> Froxlor Vhost-Einstellungen) und nutze das erstellte Zertifikat auch im Postfix/Dovecot (machen viele inkl. mir so)

[Macca]

vor 59 Minuten schrieb d00p:

Eh, MX record interessiert froxlor halt auch nicht...dein mailserver hat in der froxlor standardconfig als hostnamen auch den froxlor-systemhostnamen den du bei der installation angegeben hast, aktiviere halt Let's Encrypt auch für froxlor selbst (Einstellungen -> Froxlor Vhost-Einstellungen) und nutze das erstellte Zertifikat auch im Postfix/Dovecot (machen viele inkl. mir so)

"Let's Encrypt für den froxlor Vhost verwenden" ist erledigt

"und nutze das erstellte Zertifikat auch im Postfix" Falls Du damit meinst das ich die "main.cf" anpassen soll, das ist auch erledigt, jedoch passt woh der Hostname noch nicht " mail.domaine.de != domaine.de | DNS:domaine.de | DNS:www.domaine.de " oder verstehe ich Dich falsch?

 

" Hostname Mismatch "

https://de.ssl-tools.net/mailservers/mail.cq-pc-doc.de

[d00p]

Und nochmal: mail.[froxlor.hostname] kennt froxlor halt nicht, es steht natürlich nicht im certificate. Dann passe doch den Hostname in Postfix einfach an.

[Macca]

vor einer Stunde schrieb d00p:

Und nochmal: mail.[froxlor.hostname] kennt froxlor halt nicht, es steht natürlich nicht im certificate. Dann passe doch den Hostname in Postfix einfach an.

Habe ich schon, die Meldung kommt weiterhin. ich habe das in der "main.cf"  angepasst, ändert aber nichts.

[d00p]

Im (Mail)Client muss natürlich als Server auch eine Domain eingetragen werden die im Zertifikat steht, falls du da (via MX beim Client.setup) vllt noch Mail.domain.tld stehen hast

 

[Macca]

vor 49 Minuten schrieb d00p:

Im (Mail)Client muss natürlich als Server auch eine Domain eingetragen werden die im Zertifikat steht, falls du da (via MX beim Client.setup) vllt noch Mail.domain.tld stehen hast

 

Ich glaube wir schreiben aneinander vorbei!? Es geht nicht darum was ich in einem Mailclienten eingetragen habe, sonder wie das Ergebnis bei dem Zertifikatstest ist.

Wenn ich diesen Test "https://de.ssl-tools.net/mailservers/mail.cq-pc-doc.de" mit meiner Domaine ausführe, dann steht an erster Stelle bei der Zertifikatskette "Hostname Mismatch". Was genau kann ich tun um das zu beseitigen?

 

 

Und bei diesem test "https://www.checktls.com/TestReceiver" steht im Protokoll unter anderem

"Cert Hostname DOES NOT VERIFY (mail.cq-pc-doc.de != cq-pc-doc.de | DNS:cq-pc-doc.de | DNS:www.cq-pc-doc.de)
So email is encrypted but the host is not verified"

[d00p]

...also

1) DNS

d00p@nutimed:~$ dig cq-pc-doc.de MX
;; ANSWER SECTION:
cq-pc-doc.de.        86400    IN    MX    10 mail.cq-pc-doc.de.
 

2) IMAP

d00p@nutimed:~$ openssl s_client -crlf -connect cq-pc-doc.de:993

sagt du nutzt ein von dovecot erstelltes zertifikat:
---
Certificate chain
 0 s:/O=Dovecot mail server/OU=@commonName@/CN=@commonName@/emailAddress=@emailAddress@
   i:/O=Dovecot mail server/OU=@commonName@/CN=@commonName@/emailAddress=@emailAddress@
---

Da solltest du also schonmal das korrekte Zertifikat überhaupt mal einbinden
 

3) SMTP (scheint korrekt)

d00p@nutimed:~$ openssl s_client -crlf -connect cq-pc-doc.de:25 -starttls smtp
---
Certificate chain
 0 s:/CN=cq-pc-doc.de
   i:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
 1 s:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
   i:/O=Digital Signature Trust Co./CN=DST Root CA X3
---

 

Sprich: dovecot certificate korrigieren und nicht irgendwelche webtools zum teste nutzen sondern openssl oder einfach direkt nen email client wo man die Domain und ports anständig eintragen kann

[Macca]

vor 5 Stunden schrieb d00p:

...also

1) DNS

d00p@nutimed:~$ dig cq-pc-doc.de MX
;; ANSWER SECTION:
cq-pc-doc.de.        86400    IN    MX    10 mail.cq-pc-doc.de.
 

2) IMAP

d00p@nutimed:~$ openssl s_client -crlf -connect cq-pc-doc.de:993

sagt du nutzt ein von dovecot erstelltes zertifikat:
---
Certificate chain
 0 s:/O=Dovecot mail server/OU=@commonName@/CN=@commonName@/emailAddress=@emailAddress@
   i:/O=Dovecot mail server/OU=@commonName@/CN=@commonName@/emailAddress=@emailAddress@
---

Da solltest du also schonmal das korrekte Zertifikat überhaupt mal einbinden
 

3) SMTP (scheint korrekt)

d00p@nutimed:~$ openssl s_client -crlf -connect cq-pc-doc.de:25 -starttls smtp
---
Certificate chain
 0 s:/CN=cq-pc-doc.de
   i:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
 1 s:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
   i:/O=Digital Signature Trust Co./CN=DST Root CA X3
---

 

Sprich: dovecot certificate korrigieren und nicht irgendwelche webtools zum teste nutzen sondern openssl oder einfach direkt nen email client wo man die Domain und ports anständig eintragen kann

Done

Habe dovecot korrigiert und mein Thunderbird nutzt auch gleich das richtige. Was kann ich von der Meldung auf dem Bild halten?

" Cert Hostname DOES NOT VERIFY (mail.cq-pc-doc.de != cq-pc-doc.de | DNS:cq-pc-doc.de | DNS:www.cq-pc-doc.de)
So email is encrypted but the host is not verified "?

Danke Dir

[d00p]

4 hours ago, Macca said:

Was kann ich von der Meldung auf dem Bild halten?

Na genau das was da steht, irgendwo benutzt du halt wohl noch mail.cq-pc-doc.de und dafür ist das certificate nunmal nicht ausgestellt

[Macca]

vor 7 Stunden schrieb d00p:

Na genau das was da steht, irgendwo benutzt du halt wohl noch mail.cq-pc-doc.de und dafür ist das certificate nunmal nicht ausgestellt

Mein MX Record. Ich habe das Zertifikat schon neu ausstellen lassen, aber ändert sich nichts.

Wie genau sollte ich denn vorgehen um das in Ordung zu bringen?

Danke Dir, wo kann ich spenden?

[d00p]

Wenn dein MX record mail.domain ist, dann muss auch dein postfix/dovecot hostname auf mail.domain stehen und dann muss auch ein zertifikat für diese domain ausgestellt sein.

Spenden: froxlor.org, runterscrollen, da sind buttons

[Macca]

vor 25 Minuten schrieb d00p:

Wenn dein MX record mail.domain ist, dann muss auch dein postfix/dovecot hostname auf mail.domain stehen und dann muss auch ein zertifikat für diese domain ausgestellt sein.

Spenden: froxlor.org, runterscrollen, da sind buttons

Das ist soweit klar, nur wie bekomme ich mein Zertifikat dazu auch "mail." zu nutzen? Die Zertifikate sind ja nun ausgestellt und gültig, ich müsste doch im Prinzip nochmal von vorne beginnen!?

Spende ist raus.

[d00p]

Du könntest doch z.b. mail.domain.tld als domain in froxlor anlegen und dir als kunden zuweisen, ganz normal ssl aktivieren und ein let's encrypt certificate dafür beantragen und das halt in den mail-diensten nutzen

[Macca]

Am 11.5.2018 um 19:56 schrieb d00p:

Du könntest doch z.b. mail.domain.tld als domain in froxlor anlegen und dir als kunden zuweisen, ganz normal ssl aktivieren und ein let's encrypt certificate dafür beantragen und das halt in den mail-diensten nutzen

So, hatte erst jetzt wieder Zeit.

Ich habe die Domaine so angelegt, leider kommt eine Fehlermeldung wenn ich das Zertifikat beantrage.

Could not get Let's Encrypt certificate for mail.cq-pc-doc.de: Verification ended with error: {"identifier":{"type":"dns","value":"www.mail.cq-pc-doc.de"},"status":"invalid","expires":"2018-05-22T16:52:11Z","challenges":[{"type":"http-01","status":"invalid","error":{"type":"urn:acme:error:dns","detail":"DNS problem: NXDOMAIN looking up A for www.mail.cq-pc-doc.de","status":400},"uri":"https:\/\/acme-v01.api.letsencrypt.org\/acme\/challenge\/xR7k__K3gIgtKhvnuMK7gqa1Zsn_xRDmC5O1zfxIFTw\/4657485677","token":"pWtGPBzSRNiDMshoDZck3AqisrnDiJX6rPibJnjjIT8","keyAuthorization":"pWtGPBzSRNiDMshoDZck3AqisrnDiJX6rPibJnjjIT8.h1K0aSy2nSPL98IrO3SMMm_oF1PWBKyVk1apGwSCbYY","validationRecord":[{"url":"http:\/\/www.mail.cq-pc-doc.de\/.well-known\/acme-challenge\/pWtGPBzSRNiDMshoDZck3AqisrnDiJX6rPibJnjjIT8","hostname":"www.mail.cq-pc-doc.de","port":"80"}]},{"type":"dns-01","status":"invalid","uri":"https:\/\/acme-v01.api.letsencrypt.org\/acme\/challenge\/xR7k__K3gIgtKhvnuMK7gqa1Zsn_xRDmC5O1zfxIFTw\/4657485678","token":"eMpWBL6uh7BRZrOPiGIRh2zQ1fIJ6A25kBV5r47W8EM"}],"combinations":[[1],[0]]}

[Lets Encrypt self-check] Please check http://www.mail.cq-pc-doc.de/.well-known/acme-challenge/pWtGPBzSRNiDMshoDZck3AqisrnDiJX6rPibJnjjIT8 - token seems to be not available. This is just a simple self-check, it might be wrong but consider using this information when Let's Encrypt fails to issue a certificate

Das hatte ich  auch bei den anderen Domains und aus mir nicht erklärbaren Gründen hats dann bei den anderen Domains irgendwann funktioniert.

Ausserdem ist die Zeit im System-Log in Froxlor immer um 2 Stunden versetzt. Meine Serverzeit stimmt, habe ich schon geprüft.