Jump to content
Froxlor Forum
  • 0

Mailserver-Neustart nach Zertifikats-Erneuerung


Question

Posted

Moin zusammen und ein frohes neues Jahr :).

Ich bin doch sicher nicht der Einzige, der einen Mailserver mit einem LE-Zertifikat versehen hat, oder?
Nun ist es so, dass alle 2 Monate, wenn das Zertifikat automatisch erneuert wurde, die Mail-Clients meckern, weil der Server wohl noch das alte Zertifikat ausliefert.
Also muss man ihn (Postfix / Dovecot) neu starten, dann ist wieder alles gut.

Hat jemand von euch eine Lösung, wie man das automatisch hinbekommt? So muss ich das manuell machen, nachdem ich das mitbekommen habe, weil mich jemand deswegen anmeckert ;).
Wäre schon, wenn niemand erst meckern müsste, weil der Mail-Server anschließend automatisch neu gestartet würde.

Gruß,

Wolfgang

14 answers to this question

Recommended Posts

  • 1
Posted

Ich stelle mich jetzt mal ganz dumm und frage mich, ob es relativ leicht wäre, es so zu integrieren, indem man einen Befehl hinterlegen kann:

Und in die Datei , z.B. halt restart_mailservices, darf dann jeder das reinpacken, was er braucht, mag, möchte :).
Wenn das Feld leer ist, mach nix, sonst das ausführen. Siehste, ganz einfach 😂

froxlor.jpg.bb984f3742ab43bc8a04d245568da3b0.jpg

  • 0
Posted

Moinsens,

man könnte z.B. mit monit die checksum überprüfen
 

check file postfix_certificate_file with path /pfad/zum/CERT
        start program = "/etc/init.d/postfix start"
        stop  program = "/etc/init.d/postfix stop"
        restart  program = "/etc/init.d/postfix restart"
        if changed checksum then restart

Damit lässt sich dann entsprechend auch dovecot, proftpd etc automatisch neustarten

  • 0
Posted

Ich habe die Zertifikate meiner FTP-Server und Mailserver (lange bevor froxlor bei 0.10.x darauf gewechselt hat) mit acme.sh gemacht. Man kann ein Script angeben was nach der Erneuerung ausgeführt werden soll. Darin werden die entsprechenden Services neu geladen.

  • 0
Posted
45 minutes ago, Shortie said:

Ich habe die Zertifikate meiner FTP-Server und Mailserver (lange bevor froxlor bei 0.10.x darauf gewechselt hat) mit acme.sh gemacht. Man kann ein Script angeben was nach der Erneuerung ausgeführt werden soll. Darin werden die entsprechenden Services neu geladen.

ist das pro zertifikat angebbar? oder triggered das bei jeglichem renew?

  • 0
Posted
7 hours ago, d00p said:

ist das pro zertifikat angebbar? oder triggered das bei jeglichem renew?

Ja klar. Das Script was das Zertifikat und das entsprechende Konfigurationsverzeichnis erstellt sieht so aus:

#!/bin/bash

DOMAIN="mail.meinehauptdomain.net"

/usr/local/acme/acme.sh --issue -k 4096 -w /var/www/froxlor -d $DOMAIN

/usr/local/acme/acme.sh --installcert -d $DOMAIN \
--certpath /etc/ssl/letsencrypt/$DOMAIN.crt \
--keypath /etc/ssl/letsencrypt/$DOMAIN.key \
--fullchainpath /etc/ssl/letsencrypt/$DOMAIN.chain.crt \
--capath /etc/ssl/letsencrypt/$DOMAIN.ca.crt \
--reloadcmd "/usr/local/sbin/restart_mailservices"

Der Cronjob für nächtliches Überprüfen und evtl. notwendigen Renew:

0 0 * * *       root    /usr/local/acme/acme.sh --cron --home /usr/local/acme > /dev/null

 

  • 0
Posted

Bringt froxlor nur bedingt was, zum einen führen wir kein --installcert aus und zum anderen nutzen wir nicht den cron von acme.sh :)

  • 0
Posted
6 hours ago, d00p said:

Bringt froxlor nur bedingt was, zum einen führen wir kein --installcert aus und zum anderen nutzen wir nicht den cron von acme.sh :)

Richtig, aber man kann das acme.sh Script via cron ja parallel für Dovecot, Postfix usw. nutzen. Aragorn hat ja nur nach einer möglichen Lösung gefragt.

  • 0
Posted
vor 23 Stunden schrieb d00p:

Bringt froxlor nur bedingt was, zum einen führen wir kein --installcert aus und zum anderen nutzen wir nicht den cron von acme.sh :)

Siehst Du denn eine Chance, sowas irgendwie in Froxlor zu integrieren? Ich finde, das ist kein ganz unwichtiges Thema.

  • 0
Posted

muss ich mal schauen...von "haus aus" verwaltet froxlor halt keine zertifikate für mail-dienste, da die configs dafür halt nicht regelmäßig neu-erstellt werden, das wird etwas frickelig

  • 0
Posted

Dann wäre es aber noch zu begrüßen wenn weitere Namen noch angegeben werden können. Ein Zertifikat was dann bspw. auf mail.domain.de, webmail.domain.de und froxlor.domain.de genutzt werden kann.

 

  • 0
Posted
18 minutes ago, Shortie said:

Dann wäre es aber noch zu begrüßen wenn weitere Namen noch angegeben werden können. Ein Zertifikat was dann bspw. auf mail.domain.de, webmail.domain.de und froxlor.domain.de genutzt werden kann.

 

Das ist bereits möglich, siehe Einstellungen im froxlor vhost

  • 0
Posted

Mein Mailserver (Dovecot+Postfix) nutzt eine Subdomain, die es bereits in Froxlor für den Webserver gibt (mail.domain.de für roundcube). Deshalb benutze ich das Zertifikat, das es bereits gibt in /etc/ssl/froxlor-custom/.

Damit Dovecot + Postfix das neue Zertifikat laden wenn es eins gibt, reloade ich einfach beide Mailserver-Dienste jede Woche Sonntags:

32 2 * * 0 /bin/systemctl reload postfix.service
33 2 * * 0 /bin/systemctl reload dovecot.service

Da die Zertifikate 3 Monate gültig sind, aber nach 2 Monaten bereits erneuert werden, klappt das ganz gut. Und Sonntags um halb 3 Nachts stört der Reload nicht im Geringsten.

 

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now


×
×
  • Create New...