January 10, 20206 yr Moin zusammen und ein frohes neues Jahr :). Ich bin doch sicher nicht der Einzige, der einen Mailserver mit einem LE-Zertifikat versehen hat, oder? Nun ist es so, dass alle 2 Monate, wenn das Zertifikat automatisch erneuert wurde, die Mail-Clients meckern, weil der Server wohl noch das alte Zertifikat ausliefert. Also muss man ihn (Postfix / Dovecot) neu starten, dann ist wieder alles gut. Hat jemand von euch eine Lösung, wie man das automatisch hinbekommt? So muss ich das manuell machen, nachdem ich das mitbekommen habe, weil mich jemand deswegen anmeckert ;). Wäre schon, wenn niemand erst meckern müsste, weil der Mail-Server anschließend automatisch neu gestartet würde. Gruß, Wolfgang
January 10, 20206 yr Moinsens, man könnte z.B. mit monit die checksum überprüfen check file postfix_certificate_file with path /pfad/zum/CERT start program = "/etc/init.d/postfix start" stop program = "/etc/init.d/postfix stop" restart program = "/etc/init.d/postfix restart" if changed checksum then restart Damit lässt sich dann entsprechend auch dovecot, proftpd etc automatisch neustarten
January 10, 20206 yr Ich habe die Zertifikate meiner FTP-Server und Mailserver (lange bevor froxlor bei 0.10.x darauf gewechselt hat) mit acme.sh gemacht. Man kann ein Script angeben was nach der Erneuerung ausgeführt werden soll. Darin werden die entsprechenden Services neu geladen.
January 10, 20206 yr 45 minutes ago, Shortie said: Ich habe die Zertifikate meiner FTP-Server und Mailserver (lange bevor froxlor bei 0.10.x darauf gewechselt hat) mit acme.sh gemacht. Man kann ein Script angeben was nach der Erneuerung ausgeführt werden soll. Darin werden die entsprechenden Services neu geladen. ist das pro zertifikat angebbar? oder triggered das bei jeglichem renew?
January 11, 20206 yr 7 hours ago, d00p said: ist das pro zertifikat angebbar? oder triggered das bei jeglichem renew? Ja klar. Das Script was das Zertifikat und das entsprechende Konfigurationsverzeichnis erstellt sieht so aus: #!/bin/bash DOMAIN="mail.meinehauptdomain.net" /usr/local/acme/acme.sh --issue -k 4096 -w /var/www/froxlor -d $DOMAIN /usr/local/acme/acme.sh --installcert -d $DOMAIN \ --certpath /etc/ssl/letsencrypt/$DOMAIN.crt \ --keypath /etc/ssl/letsencrypt/$DOMAIN.key \ --fullchainpath /etc/ssl/letsencrypt/$DOMAIN.chain.crt \ --capath /etc/ssl/letsencrypt/$DOMAIN.ca.crt \ --reloadcmd "/usr/local/sbin/restart_mailservices" Der Cronjob für nächtliches Überprüfen und evtl. notwendigen Renew: 0 0 * * * root /usr/local/acme/acme.sh --cron --home /usr/local/acme > /dev/null
January 12, 20206 yr Bringt froxlor nur bedingt was, zum einen führen wir kein --installcert aus und zum anderen nutzen wir nicht den cron von acme.sh
January 12, 20206 yr 6 hours ago, d00p said: Bringt froxlor nur bedingt was, zum einen führen wir kein --installcert aus und zum anderen nutzen wir nicht den cron von acme.sh Richtig, aber man kann das acme.sh Script via cron ja parallel für Dovecot, Postfix usw. nutzen. Aragorn hat ja nur nach einer möglichen Lösung gefragt.
January 13, 20206 yr Author vor 23 Stunden schrieb d00p: Bringt froxlor nur bedingt was, zum einen führen wir kein --installcert aus und zum anderen nutzen wir nicht den cron von acme.sh Siehst Du denn eine Chance, sowas irgendwie in Froxlor zu integrieren? Ich finde, das ist kein ganz unwichtiges Thema.
January 13, 20206 yr muss ich mal schauen...von "haus aus" verwaltet froxlor halt keine zertifikate für mail-dienste, da die configs dafür halt nicht regelmäßig neu-erstellt werden, das wird etwas frickelig
January 13, 20206 yr Author Ich stelle mich jetzt mal ganz dumm und frage mich, ob es relativ leicht wäre, es so zu integrieren, indem man einen Befehl hinterlegen kann: Und in die Datei , z.B. halt restart_mailservices, darf dann jeder das reinpacken, was er braucht, mag, möchte :). Wenn das Feld leer ist, mach nix, sonst das ausführen. Siehste, ganz einfach 😂
January 14, 20206 yr Dann wäre es aber noch zu begrüßen wenn weitere Namen noch angegeben werden können. Ein Zertifikat was dann bspw. auf mail.domain.de, webmail.domain.de und froxlor.domain.de genutzt werden kann.
January 14, 20206 yr 18 minutes ago, Shortie said: Dann wäre es aber noch zu begrüßen wenn weitere Namen noch angegeben werden können. Ein Zertifikat was dann bspw. auf mail.domain.de, webmail.domain.de und froxlor.domain.de genutzt werden kann. Das ist bereits möglich, siehe Einstellungen im froxlor vhost
January 14, 20206 yr Author Ich habe jetzt erstmal incron installiert, mal schauen ob das funktioniert.
September 18, 20205 yr Mein Mailserver (Dovecot+Postfix) nutzt eine Subdomain, die es bereits in Froxlor für den Webserver gibt (mail.domain.de für roundcube). Deshalb benutze ich das Zertifikat, das es bereits gibt in /etc/ssl/froxlor-custom/. Damit Dovecot + Postfix das neue Zertifikat laden wenn es eins gibt, reloade ich einfach beide Mailserver-Dienste jede Woche Sonntags: 32 2 * * 0 /bin/systemctl reload postfix.service 33 2 * * 0 /bin/systemctl reload dovecot.service Da die Zertifikate 3 Monate gültig sind, aber nach 2 Monaten bereits erneuert werden, klappt das ganz gut. Und Sonntags um halb 3 Nachts stört der Reload nicht im Geringsten.
Archived
This topic is now archived and is closed to further replies.