Jump to content
Froxlor Forum
  • 0
Aragorn

Mailserver-Neustart nach Zertifikats-Erneuerung

Question

Moin zusammen und ein frohes neues Jahr :).

Ich bin doch sicher nicht der Einzige, der einen Mailserver mit einem LE-Zertifikat versehen hat, oder?
Nun ist es so, dass alle 2 Monate, wenn das Zertifikat automatisch erneuert wurde, die Mail-Clients meckern, weil der Server wohl noch das alte Zertifikat ausliefert.
Also muss man ihn (Postfix / Dovecot) neu starten, dann ist wieder alles gut.

Hat jemand von euch eine Lösung, wie man das automatisch hinbekommt? So muss ich das manuell machen, nachdem ich das mitbekommen habe, weil mich jemand deswegen anmeckert ;).
Wäre schon, wenn niemand erst meckern müsste, weil der Mail-Server anschließend automatisch neu gestartet würde.

Gruß,

Wolfgang

Share this post


Link to post
Share on other sites

13 answers to this question

Recommended Posts

  • 0

Moinsens,

man könnte z.B. mit monit die checksum überprüfen
 

check file postfix_certificate_file with path /pfad/zum/CERT
        start program = "/etc/init.d/postfix start"
        stop  program = "/etc/init.d/postfix stop"
        restart  program = "/etc/init.d/postfix restart"
        if changed checksum then restart

Damit lässt sich dann entsprechend auch dovecot, proftpd etc automatisch neustarten

Share this post


Link to post
Share on other sites
  • 0

Ich habe die Zertifikate meiner FTP-Server und Mailserver (lange bevor froxlor bei 0.10.x darauf gewechselt hat) mit acme.sh gemacht. Man kann ein Script angeben was nach der Erneuerung ausgeführt werden soll. Darin werden die entsprechenden Services neu geladen.

Share this post


Link to post
Share on other sites
  • 0
45 minutes ago, Shortie said:

Ich habe die Zertifikate meiner FTP-Server und Mailserver (lange bevor froxlor bei 0.10.x darauf gewechselt hat) mit acme.sh gemacht. Man kann ein Script angeben was nach der Erneuerung ausgeführt werden soll. Darin werden die entsprechenden Services neu geladen.

ist das pro zertifikat angebbar? oder triggered das bei jeglichem renew?

Share this post


Link to post
Share on other sites
  • 0
7 hours ago, d00p said:

ist das pro zertifikat angebbar? oder triggered das bei jeglichem renew?

Ja klar. Das Script was das Zertifikat und das entsprechende Konfigurationsverzeichnis erstellt sieht so aus:

#!/bin/bash

DOMAIN="mail.meinehauptdomain.net"

/usr/local/acme/acme.sh --issue -k 4096 -w /var/www/froxlor -d $DOMAIN

/usr/local/acme/acme.sh --installcert -d $DOMAIN \
--certpath /etc/ssl/letsencrypt/$DOMAIN.crt \
--keypath /etc/ssl/letsencrypt/$DOMAIN.key \
--fullchainpath /etc/ssl/letsencrypt/$DOMAIN.chain.crt \
--capath /etc/ssl/letsencrypt/$DOMAIN.ca.crt \
--reloadcmd "/usr/local/sbin/restart_mailservices"

Der Cronjob für nächtliches Überprüfen und evtl. notwendigen Renew:

0 0 * * *       root    /usr/local/acme/acme.sh --cron --home /usr/local/acme > /dev/null

 

Share this post


Link to post
Share on other sites
  • 0

Bringt froxlor nur bedingt was, zum einen führen wir kein --installcert aus und zum anderen nutzen wir nicht den cron von acme.sh :)

Share this post


Link to post
Share on other sites
  • 0
6 hours ago, d00p said:

Bringt froxlor nur bedingt was, zum einen führen wir kein --installcert aus und zum anderen nutzen wir nicht den cron von acme.sh :)

Richtig, aber man kann das acme.sh Script via cron ja parallel für Dovecot, Postfix usw. nutzen. Aragorn hat ja nur nach einer möglichen Lösung gefragt.

Share this post


Link to post
Share on other sites
  • 0
vor 23 Stunden schrieb d00p:

Bringt froxlor nur bedingt was, zum einen führen wir kein --installcert aus und zum anderen nutzen wir nicht den cron von acme.sh :)

Siehst Du denn eine Chance, sowas irgendwie in Froxlor zu integrieren? Ich finde, das ist kein ganz unwichtiges Thema.

Share this post


Link to post
Share on other sites
  • 0

muss ich mal schauen...von "haus aus" verwaltet froxlor halt keine zertifikate für mail-dienste, da die configs dafür halt nicht regelmäßig neu-erstellt werden, das wird etwas frickelig

Share this post


Link to post
Share on other sites
  • 0

Ich stelle mich jetzt mal ganz dumm und frage mich, ob es relativ leicht wäre, es so zu integrieren, indem man einen Befehl hinterlegen kann:

Und in die Datei , z.B. halt restart_mailservices, darf dann jeder das reinpacken, was er braucht, mag, möchte :).
Wenn das Feld leer ist, mach nix, sonst das ausführen. Siehste, ganz einfach 😂

froxlor.jpg.bb984f3742ab43bc8a04d245568da3b0.jpg

Share this post


Link to post
Share on other sites
  • 0

Dann wäre es aber noch zu begrüßen wenn weitere Namen noch angegeben werden können. Ein Zertifikat was dann bspw. auf mail.domain.de, webmail.domain.de und froxlor.domain.de genutzt werden kann.

 

Share this post


Link to post
Share on other sites
  • 0
18 minutes ago, Shortie said:

Dann wäre es aber noch zu begrüßen wenn weitere Namen noch angegeben werden können. Ein Zertifikat was dann bspw. auf mail.domain.de, webmail.domain.de und froxlor.domain.de genutzt werden kann.

 

Das ist bereits möglich, siehe Einstellungen im froxlor vhost

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×
×
  • Create New...