Jump to content
Froxlor Forum
  • 0
Aragorn

Zertifikat für den Mailserver

Question

Moin Moin,

 

ich grübel schon 'ne Weile, komme aber nicht darauf. Ich würde gerne meinen den Mailserver (Postfix / Dovecot) mit einem LetsEncrypt Zertifikat versehen, welches Froxlor auch regelmäßig aktualisiert.

Der Sinn ist, dass als Mailserver für alle Domains, die auf diesem Server liegen, in den Mail-Clients mail.meinedomain.de eingetragen wird und man SSL aktivieren kann, ohne das der Client über ein ungültiges Zertifikat meckert.

Ich lege also die Subdomain mail.meinedomain.de an, aktiviere LE, Zertifikat wird auch geholt, funktioniert alles. Im Browser mit https ist es auch vorhanden.

Wie sage ich Postfix und Dovecot, dass sie dieses Zertifikat benutzen sollen? Irgendwie stehe ich auf dem Schlauch, kann mir da jemand unter die Arme greifen?

Das wäre gaaaanz toll :)

Danke schon mal!

 

Share this post


Link to post
Share on other sites

7 answers to this question

Recommended Posts

  • 0
48 minutes ago, Aragorn said:

Wie sage ich Postfix und Dovecot, dass sie dieses Zertifikat benutzen sollen? Irgendwie stehe ich auf dem Schlauch, kann mir da jemand unter die Arme greifen?

Na in der Postfix und dovecot config...steht alles schon auskommentiert in den Dateien...

Share this post


Link to post
Share on other sites
  • 0

Ich musste die Zertifikate finden, ich dachte die stehen in einer Datenbank 😂.

Also ich denke bei dovecot ist es die 10-ssl.conf, bei postfix die main.cf.

Aber welche Files nehme ich? Die meinedomain.de.crt und meinedomain.de.key?

Es gibt ja auch noch eine _CA.pem und eine _chain.pem. Ich hab die crt und key genommen, aber mein Android Tab meckert immer noch...

Share this post


Link to post
Share on other sites
  • 0
57 minutes ago, Aragorn said:

Ich musste die Zertifikate finden, ich dachte die stehen in einer Datenbank 

den ordner dafür hast du in den einstellungen festgelegt, default ist sowas wie /etc/apache2/froxlor-ssl/

57 minutes ago, Aragorn said:

Also ich denke bei dovecot ist es die 10-ssl.conf, bei postfix die main.cf.

kommt hin ja

58 minutes ago, Aragorn said:

Aber welche Files nehme ich? Die meinedomain.de.crt und meinedomain.de.key?

.key = privatekey, .crt = certificate, die einstellungen der dienste heißen doch meist so wie die datei die angegeben werden soll

58 minutes ago, Aragorn said:

Es gibt ja auch noch eine _CA.pem und eine _chain.pem. Ich hab die crt und key genommen, aber mein Android Tab meckert immer noch...

ohne fehlermeldung schwer zu sagen, einfach mal mit "openssl s_client connect [params]" testen, da bekommst du auch entsprechende meldungen was nicht stimmt 

Share this post


Link to post
Share on other sites
  • 0

Hi!

ich hab das auch so am Laufen, bin gerade dabei auch den ProFTP entsprechend mit Zertifikaten zu versehen.

Ich denke aber das ein manueller Restart von Dovecot Postfix und Proftp nötig sein wird da die erneuerten Zertifikate wohl nicht automatisch übernommen werden.

Das wären dann alle drei Monate wenn die Letsencrypt Zertifikate erneuert werden  oder ?

Viele Grüße!

Share this post


Link to post
Share on other sites
  • 0
On 5/25/2018 at 11:06 AM, tomski said:

Ich denke aber das ein manueller Restart von Dovecot Postfix und Proftp nötig sein wird da die erneuerten Zertifikate wohl nicht automatisch übernommen werden.

 

korrekt

On 5/25/2018 at 11:06 AM, tomski said:

Das wären dann alle drei Monate wenn die Letsencrypt Zertifikate erneuert werden  oder ?

das sind nicht immer exakt 90 tage...aber ja, grob

Share this post


Link to post
Share on other sites
  • 0
Am 25.5.2018 um 11:06 schrieb tomski:

Ich denke aber das ein manueller Restart von Dovecot Postfix und Proftp nötig sein wird da die erneuerten Zertifikate wohl nicht automatisch übernommen werden.

Ich habe auch genau diese Lösung am laufen, zusätzlich läuft noch ein Cron der Postfix, Dovecot und auch den FTP Service jeweils einmal in der Nacht neustartet. Damit fange ich diese Problem auf.

Share this post


Link to post
Share on other sites
  • 0

Eine andere Möglichkeit wäre für Mail und FTP ein externes Script zu benutzen. Ich benutze dafür acme.sh von Neilpang auf github.com was u.a. mehrere Hostnamen pro Zertifikat erlaubt und auch ein Script einbinden lässt für Reload eines Dienstes. Diese Konstellation ist bei mir notwendig da ich auch das Webmail unabhängig von froxlor konfiguriert habe.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now



×