Zertifikat für den Mailserver

[Aragorn]

Moin Moin,

 

ich grübel schon 'ne Weile, komme aber nicht darauf. Ich würde gerne meinen den Mailserver (Postfix / Dovecot) mit einem LetsEncrypt Zertifikat versehen, welches Froxlor auch regelmäßig aktualisiert.

Der Sinn ist, dass als Mailserver für alle Domains, die auf diesem Server liegen, in den Mail-Clients mail.meinedomain.de eingetragen wird und man SSL aktivieren kann, ohne das der Client über ein ungültiges Zertifikat meckert.

Ich lege also die Subdomain mail.meinedomain.de an, aktiviere LE, Zertifikat wird auch geholt, funktioniert alles. Im Browser mit https ist es auch vorhanden.

Wie sage ich Postfix und Dovecot, dass sie dieses Zertifikat benutzen sollen? Irgendwie stehe ich auf dem Schlauch, kann mir da jemand unter die Arme greifen?

Das wäre gaaaanz toll

Danke schon mal!

 

[d00p]

48 minutes ago, Aragorn said:

Wie sage ich Postfix und Dovecot, dass sie dieses Zertifikat benutzen sollen? Irgendwie stehe ich auf dem Schlauch, kann mir da jemand unter die Arme greifen?

Na in der Postfix und dovecot config...steht alles schon auskommentiert in den Dateien...

[Aragorn]

Ich musste die Zertifikate finden, ich dachte die stehen in einer Datenbank ?.

Also ich denke bei dovecot ist es die 10-ssl.conf, bei postfix die main.cf.

Aber welche Files nehme ich? Die meinedomain.de.crt und meinedomain.de.key?

Es gibt ja auch noch eine _CA.pem und eine _chain.pem. Ich hab die crt und key genommen, aber mein Android Tab meckert immer noch...

[d00p]

57 minutes ago, Aragorn said:

Ich musste die Zertifikate finden, ich dachte die stehen in einer Datenbank 

den ordner dafür hast du in den einstellungen festgelegt, default ist sowas wie /etc/apache2/froxlor-ssl/

57 minutes ago, Aragorn said:

Also ich denke bei dovecot ist es die 10-ssl.conf, bei postfix die main.cf.

kommt hin ja

58 minutes ago, Aragorn said:

Aber welche Files nehme ich? Die meinedomain.de.crt und meinedomain.de.key?

.key = privatekey, .crt = certificate, die einstellungen der dienste heißen doch meist so wie die datei die angegeben werden soll

58 minutes ago, Aragorn said:

Es gibt ja auch noch eine _CA.pem und eine _chain.pem. Ich hab die crt und key genommen, aber mein Android Tab meckert immer noch...

ohne fehlermeldung schwer zu sagen, einfach mal mit "openssl s_client connect [params]" testen, da bekommst du auch entsprechende meldungen was nicht stimmt 

[tomski]

Hi!

ich hab das auch so am Laufen, bin gerade dabei auch den ProFTP entsprechend mit Zertifikaten zu versehen.

Ich denke aber das ein manueller Restart von Dovecot Postfix und Proftp nötig sein wird da die erneuerten Zertifikate wohl nicht automatisch übernommen werden.

Das wären dann alle drei Monate wenn die Letsencrypt Zertifikate erneuert werden  oder ?

Viele Grüße!

[d00p]

On 5/25/2018 at 11:06 AM, tomski said:

Ich denke aber das ein manueller Restart von Dovecot Postfix und Proftp nötig sein wird da die erneuerten Zertifikate wohl nicht automatisch übernommen werden.

 

korrekt

On 5/25/2018 at 11:06 AM, tomski said:

Das wären dann alle drei Monate wenn die Letsencrypt Zertifikate erneuert werden  oder ?

das sind nicht immer exakt 90 tage...aber ja, grob

[tobi79]

Am 25.5.2018 um 11:06 schrieb tomski:

Ich denke aber das ein manueller Restart von Dovecot Postfix und Proftp nötig sein wird da die erneuerten Zertifikate wohl nicht automatisch übernommen werden.

Ich habe auch genau diese Lösung am laufen, zusätzlich läuft noch ein Cron der Postfix, Dovecot und auch den FTP Service jeweils einmal in der Nacht neustartet. Damit fange ich diese Problem auf.

[Shortie]

Eine andere Möglichkeit wäre für Mail und FTP ein externes Script zu benutzen. Ich benutze dafür acme.sh von Neilpang auf github.com was u.a. mehrere Hostnamen pro Zertifikat erlaubt und auch ein Script einbinden lässt für Reload eines Dienstes. Diese Konstellation ist bei mir notwendig da ich auch das Webmail unabhängig von froxlor konfiguriert habe.