Jump to content
Froxlor Forum
  • 0
Volatile

Let's encript Zertifikat wird nicht registriert

Question

Hoi,

ich hab da ein Problem mit einer Subdomain und dessen Zertifikat.

Wenn ich Froxlor bei einer bestimmten (mail.) Subdomain auf Let's Encrypt Zertifikat stelle, dann generiert er scheinbar das Zertifikate für die Hauptdomain (ohne www) aber mit korrektem Namen (also mail.x.y.crt). Zudem wird das entsprechende Zertifikat nicht unter der Zertifikat-Ansicht aufgeführt. Wenn ich das von LE generierte Zertifikat+Key manuell (LE aus) rein kopiere, sieht man auch, das es nicht für die mail.x.y sondern nur für x.y ausgestellt wurde. Alle anderen Domains und Subdomains gehen problemlos. Ich gehe daher davon aus, das irgendwo in einer Froxlor/LE verwalteten Datei Schmus steht, welches für diese Subdomain das Fehlverhalten auslöst.

Ich habe die Subdomain auch schon zwei mal gelöscht und neu erstellt, in der Hoffnung, dass es das Fehlverhalten korrigiert, aber es bleibt hartnäckig. Auch der Versuch, manuell ein korrektes Zertifikat zu generieren, rein zu kopieren und dann auf Froxlors AutoLe umzustellen hat nicht funktioniert (Das Zertifikat wird zwar erneuert, aber eben für die falsche Domain).

Wenn jemand eine Idee hat, welche Config da quer schießt, wäre ich für einen Tip dankbar

Share this post


Link to post
Share on other sites

14 answers to this question

Recommended Posts

  • 0

Genutzte Froxlor Version? ACME v1 oder v2? So ein Verhalten konnt ich bisher nicht feststellen. Wie ist der Output von "php /var/www/froxlor/scripts/froxlor_master_cronjob.php --letsencrypt --debug" (vorher am besten das Zertifikat löschen, damit er ein neues erstellt)

Share this post


Link to post
Share on other sites
  • 0

Moin,

hat das evtl. auch etwas mit meinem Problem zu tun?

Ich habe ein Zertifikat für den Mailserver "mail.domain.de". Das funktioniert auf PC's ohne Probleme, im Browser und auch mit Thunderbird.
Auf Android- oder MAC-Smartphones oder Tablets klappt das zwar im Browser, aber die Mail-Clients meckern alle über ein fehlerhaftes Zertifikat.

Fehler:

Ungültiges Zertifikat

Der Server verwendet ein ungültiges Zertifikat .... bla bla

(java.security.cert.CertPathValidatorException: Trust anchor for certification path not found.) Certificate chain[0]:

Subject: CN=mail.domain.de
Subject has 1 alternative names
Subject(alt): mail.domain.de,...
Issuer: CN=Let's Encrypt Authority X3

Und so weiter, aber ich denke das reicht als Fehlermeldung.

Irgend eine Idee, was da falsch läuft?

 

Gruß,

Wolfgang

 

P.S.:

Ich hab da übrigens noch was gefunden:

http://www.bensprotips.com/2014/04/apache-sslcertificatechainfile-directive-deprecated-sslcertificatefile/

Hilft das?

Share this post


Link to post
Share on other sites
  • 0

Welche Android Version? Bzw Java? Ältere könnten let's encrypt vllt nicht kennen

Share this post


Link to post
Share on other sites
  • 0

Android 7.0 und 8.0.

Aber wie gesagt, es betrifft auch die Apple-Geräte.

Und im Browser wird es akzeptiert.

Ist evtl. mein Mailserver falsch konfiguriert?

In der 10-ssl.conf von dovecot steht das:

ssl_cert = </etc/apache2/ssl/mail.domain.de.crt
ssl_key = </etc/apache2/ssl/mail.domain.de.key

Genauso auch in der cert.conf.mssl

local_name mail.domain.de {
  ssl_cert = </etc/apache2/ssl/mail.domain.de.crt
  ssl_key = </etc/apache2/ssl/mail.domain.de.key
 

Share this post


Link to post
Share on other sites
  • 0

Ja das funktioniert. Aber die gibt es so ja nicht, oder?

Es werden generiert:

/etc/apache2/ssl/mail.domain.de.crt
/etc/apache2/ssl/mail.domain.de.key
/etc/apache2/ssl/mail.domain.de_CA.pem
/etc/apache2/ssl/mail.domain.de_chain.pem

Ich habe jetzt die .crt und die _chain.pem zusammen in eine

/etc/apache2/ssl/mail.domain.de.pem kopiert und bei devocot und postfix eingetragen, das scheint es zu funktionieren.

Aber in 2 oder 3 Monaten wird das Zertifikat ja auslaufen und von Froxlor erneuert, dann muss ich das ja jedes mal wieder von Hand machen...

Oder was übersehe ich?

Share this post


Link to post
Share on other sites
  • 0

Moin,

 

ja, für einige Domains macht Froxlor das wohl, für meine Mail-Domain (mail,xxxx) hat er es jedenfalls nicht gemacht und schon ging nix mehr mit dem Mailserver.

Any idea?

 

Share this post


Link to post
Share on other sites
  • 0

In der Datenbank, Tabelle domain_ssl_settings ist für diese Domain (ist eine subdomain) das Feld ssl_fullchain_file auch leer (Null).

Bei vielen anderen Domains auch.

Share this post


Link to post
Share on other sites
  • 0

Keine Ahnung. Nach dem Update auf die 0.9.40.1 gerade eben war die fullchain (hatte sie manuell erstellt) wieder weg.

Ich habe den Inhalt nun direkt in die Datenbank eingefügt und beim nächsten Durchlauf hat er dann auch die fullchain erstellt.

Es sieht also so aus, dass die fullchain nicht erstellt wird, wenn das entsprechende Feld in der Tabelle NULL ist. Und das sind einige :)

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×
×
  • Create New...