Jump to content
Froxlor Forum
  • 0

Zertifikat für den Mailserver


Aragorn

Question

Moin Moin,

 

ich grübel schon 'ne Weile, komme aber nicht darauf. Ich würde gerne meinen den Mailserver (Postfix / Dovecot) mit einem LetsEncrypt Zertifikat versehen, welches Froxlor auch regelmäßig aktualisiert.

Der Sinn ist, dass als Mailserver für alle Domains, die auf diesem Server liegen, in den Mail-Clients mail.meinedomain.de eingetragen wird und man SSL aktivieren kann, ohne das der Client über ein ungültiges Zertifikat meckert.

Ich lege also die Subdomain mail.meinedomain.de an, aktiviere LE, Zertifikat wird auch geholt, funktioniert alles. Im Browser mit https ist es auch vorhanden.

Wie sage ich Postfix und Dovecot, dass sie dieses Zertifikat benutzen sollen? Irgendwie stehe ich auf dem Schlauch, kann mir da jemand unter die Arme greifen?

Das wäre gaaaanz toll :)

Danke schon mal!

 

Link to comment
Share on other sites

7 answers to this question

Recommended Posts

48 minutes ago, Aragorn said:

Wie sage ich Postfix und Dovecot, dass sie dieses Zertifikat benutzen sollen? Irgendwie stehe ich auf dem Schlauch, kann mir da jemand unter die Arme greifen?

Na in der Postfix und dovecot config...steht alles schon auskommentiert in den Dateien...

Link to comment
Share on other sites

Ich musste die Zertifikate finden, ich dachte die stehen in einer Datenbank ?.

Also ich denke bei dovecot ist es die 10-ssl.conf, bei postfix die main.cf.

Aber welche Files nehme ich? Die meinedomain.de.crt und meinedomain.de.key?

Es gibt ja auch noch eine _CA.pem und eine _chain.pem. Ich hab die crt und key genommen, aber mein Android Tab meckert immer noch...

Link to comment
Share on other sites

57 minutes ago, Aragorn said:

Ich musste die Zertifikate finden, ich dachte die stehen in einer Datenbank 

den ordner dafür hast du in den einstellungen festgelegt, default ist sowas wie /etc/apache2/froxlor-ssl/

57 minutes ago, Aragorn said:

Also ich denke bei dovecot ist es die 10-ssl.conf, bei postfix die main.cf.

kommt hin ja

58 minutes ago, Aragorn said:

Aber welche Files nehme ich? Die meinedomain.de.crt und meinedomain.de.key?

.key = privatekey, .crt = certificate, die einstellungen der dienste heißen doch meist so wie die datei die angegeben werden soll

58 minutes ago, Aragorn said:

Es gibt ja auch noch eine _CA.pem und eine _chain.pem. Ich hab die crt und key genommen, aber mein Android Tab meckert immer noch...

ohne fehlermeldung schwer zu sagen, einfach mal mit "openssl s_client connect [params]" testen, da bekommst du auch entsprechende meldungen was nicht stimmt 

Link to comment
Share on other sites

Hi!

ich hab das auch so am Laufen, bin gerade dabei auch den ProFTP entsprechend mit Zertifikaten zu versehen.

Ich denke aber das ein manueller Restart von Dovecot Postfix und Proftp nötig sein wird da die erneuerten Zertifikate wohl nicht automatisch übernommen werden.

Das wären dann alle drei Monate wenn die Letsencrypt Zertifikate erneuert werden  oder ?

Viele Grüße!

Link to comment
Share on other sites

On 5/25/2018 at 11:06 AM, tomski said:

Ich denke aber das ein manueller Restart von Dovecot Postfix und Proftp nötig sein wird da die erneuerten Zertifikate wohl nicht automatisch übernommen werden.

 

korrekt

On 5/25/2018 at 11:06 AM, tomski said:

Das wären dann alle drei Monate wenn die Letsencrypt Zertifikate erneuert werden  oder ?

das sind nicht immer exakt 90 tage...aber ja, grob

Link to comment
Share on other sites

Am 25.5.2018 um 11:06 schrieb tomski:

Ich denke aber das ein manueller Restart von Dovecot Postfix und Proftp nötig sein wird da die erneuerten Zertifikate wohl nicht automatisch übernommen werden.

Ich habe auch genau diese Lösung am laufen, zusätzlich läuft noch ein Cron der Postfix, Dovecot und auch den FTP Service jeweils einmal in der Nacht neustartet. Damit fange ich diese Problem auf.

Link to comment
Share on other sites

Eine andere Möglichkeit wäre für Mail und FTP ein externes Script zu benutzen. Ich benutze dafür acme.sh von Neilpang auf github.com was u.a. mehrere Hostnamen pro Zertifikat erlaubt und auch ein Script einbinden lässt für Reload eines Dienstes. Diese Konstellation ist bei mir notwendig da ich auch das Webmail unabhängig von froxlor konfiguriert habe.

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...