Jump to content
Froxlor Forum
  • 0

Let's encript Zertifikat wird nicht registriert


Volatile

Question

Hoi,

ich hab da ein Problem mit einer Subdomain und dessen Zertifikat.

Wenn ich Froxlor bei einer bestimmten (mail.) Subdomain auf Let's Encrypt Zertifikat stelle, dann generiert er scheinbar das Zertifikate für die Hauptdomain (ohne www) aber mit korrektem Namen (also mail.x.y.crt). Zudem wird das entsprechende Zertifikat nicht unter der Zertifikat-Ansicht aufgeführt. Wenn ich das von LE generierte Zertifikat+Key manuell (LE aus) rein kopiere, sieht man auch, das es nicht für die mail.x.y sondern nur für x.y ausgestellt wurde. Alle anderen Domains und Subdomains gehen problemlos. Ich gehe daher davon aus, das irgendwo in einer Froxlor/LE verwalteten Datei Schmus steht, welches für diese Subdomain das Fehlverhalten auslöst.

Ich habe die Subdomain auch schon zwei mal gelöscht und neu erstellt, in der Hoffnung, dass es das Fehlverhalten korrigiert, aber es bleibt hartnäckig. Auch der Versuch, manuell ein korrektes Zertifikat zu generieren, rein zu kopieren und dann auf Froxlors AutoLe umzustellen hat nicht funktioniert (Das Zertifikat wird zwar erneuert, aber eben für die falsche Domain).

Wenn jemand eine Idee hat, welche Config da quer schießt, wäre ich für einen Tip dankbar

Link to comment
Share on other sites

14 answers to this question

Recommended Posts

Genutzte Froxlor Version? ACME v1 oder v2? So ein Verhalten konnt ich bisher nicht feststellen. Wie ist der Output von "php /var/www/froxlor/scripts/froxlor_master_cronjob.php --letsencrypt --debug" (vorher am besten das Zertifikat löschen, damit er ein neues erstellt)

Link to comment
Share on other sites

Moin,

hat das evtl. auch etwas mit meinem Problem zu tun?

Ich habe ein Zertifikat für den Mailserver "mail.domain.de". Das funktioniert auf PC's ohne Probleme, im Browser und auch mit Thunderbird.
Auf Android- oder MAC-Smartphones oder Tablets klappt das zwar im Browser, aber die Mail-Clients meckern alle über ein fehlerhaftes Zertifikat.

Fehler:

Ungültiges Zertifikat

Der Server verwendet ein ungültiges Zertifikat .... bla bla

(java.security.cert.CertPathValidatorException: Trust anchor for certification path not found.) Certificate chain[0]:

Subject: CN=mail.domain.de
Subject has 1 alternative names
Subject(alt): mail.domain.de,...
Issuer: CN=Let's Encrypt Authority X3

Und so weiter, aber ich denke das reicht als Fehlermeldung.

Irgend eine Idee, was da falsch läuft?

 

Gruß,

Wolfgang

 

P.S.:

Ich hab da übrigens noch was gefunden:

http://www.bensprotips.com/2014/04/apache-sslcertificatechainfile-directive-deprecated-sslcertificatefile/

Hilft das?

Link to comment
Share on other sites

Android 7.0 und 8.0.

Aber wie gesagt, es betrifft auch die Apple-Geräte.

Und im Browser wird es akzeptiert.

Ist evtl. mein Mailserver falsch konfiguriert?

In der 10-ssl.conf von dovecot steht das:

ssl_cert = </etc/apache2/ssl/mail.domain.de.crt
ssl_key = </etc/apache2/ssl/mail.domain.de.key

Genauso auch in der cert.conf.mssl

local_name mail.domain.de {
  ssl_cert = </etc/apache2/ssl/mail.domain.de.crt
  ssl_key = </etc/apache2/ssl/mail.domain.de.key
 

Link to comment
Share on other sites

Ja das funktioniert. Aber die gibt es so ja nicht, oder?

Es werden generiert:

/etc/apache2/ssl/mail.domain.de.crt
/etc/apache2/ssl/mail.domain.de.key
/etc/apache2/ssl/mail.domain.de_CA.pem
/etc/apache2/ssl/mail.domain.de_chain.pem

Ich habe jetzt die .crt und die _chain.pem zusammen in eine

/etc/apache2/ssl/mail.domain.de.pem kopiert und bei devocot und postfix eingetragen, das scheint es zu funktionieren.

Aber in 2 oder 3 Monaten wird das Zertifikat ja auslaufen und von Froxlor erneuert, dann muss ich das ja jedes mal wieder von Hand machen...

Oder was übersehe ich?

Link to comment
Share on other sites

Keine Ahnung. Nach dem Update auf die 0.9.40.1 gerade eben war die fullchain (hatte sie manuell erstellt) wieder weg.

Ich habe den Inhalt nun direkt in die Datenbank eingefügt und beim nächsten Durchlauf hat er dann auch die fullchain erstellt.

Es sieht also so aus, dass die fullchain nicht erstellt wird, wenn das entsprechende Feld in der Tabelle NULL ist. Und das sind einige :)

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...