Jump to content
Froxlor Forum
  • 0

Mailserver-Neustart nach Zertifikats-Erneuerung


Aragorn

Question

Moin zusammen und ein frohes neues Jahr :).

Ich bin doch sicher nicht der Einzige, der einen Mailserver mit einem LE-Zertifikat versehen hat, oder?
Nun ist es so, dass alle 2 Monate, wenn das Zertifikat automatisch erneuert wurde, die Mail-Clients meckern, weil der Server wohl noch das alte Zertifikat ausliefert.
Also muss man ihn (Postfix / Dovecot) neu starten, dann ist wieder alles gut.

Hat jemand von euch eine Lösung, wie man das automatisch hinbekommt? So muss ich das manuell machen, nachdem ich das mitbekommen habe, weil mich jemand deswegen anmeckert ;).
Wäre schon, wenn niemand erst meckern müsste, weil der Mail-Server anschließend automatisch neu gestartet würde.

Gruß,

Wolfgang

Link to comment
Share on other sites

14 answers to this question

Recommended Posts

  • 1

Ich stelle mich jetzt mal ganz dumm und frage mich, ob es relativ leicht wäre, es so zu integrieren, indem man einen Befehl hinterlegen kann:

Und in die Datei , z.B. halt restart_mailservices, darf dann jeder das reinpacken, was er braucht, mag, möchte :).
Wenn das Feld leer ist, mach nix, sonst das ausführen. Siehste, ganz einfach 😂

froxlor.jpg.bb984f3742ab43bc8a04d245568da3b0.jpg

Link to comment
Share on other sites

  • 0

Moinsens,

man könnte z.B. mit monit die checksum überprüfen
 

check file postfix_certificate_file with path /pfad/zum/CERT
        start program = "/etc/init.d/postfix start"
        stop  program = "/etc/init.d/postfix stop"
        restart  program = "/etc/init.d/postfix restart"
        if changed checksum then restart

Damit lässt sich dann entsprechend auch dovecot, proftpd etc automatisch neustarten

Link to comment
Share on other sites

  • 0

Ich habe die Zertifikate meiner FTP-Server und Mailserver (lange bevor froxlor bei 0.10.x darauf gewechselt hat) mit acme.sh gemacht. Man kann ein Script angeben was nach der Erneuerung ausgeführt werden soll. Darin werden die entsprechenden Services neu geladen.

Link to comment
Share on other sites

  • 0
45 minutes ago, Shortie said:

Ich habe die Zertifikate meiner FTP-Server und Mailserver (lange bevor froxlor bei 0.10.x darauf gewechselt hat) mit acme.sh gemacht. Man kann ein Script angeben was nach der Erneuerung ausgeführt werden soll. Darin werden die entsprechenden Services neu geladen.

ist das pro zertifikat angebbar? oder triggered das bei jeglichem renew?

Link to comment
Share on other sites

  • 0
7 hours ago, d00p said:

ist das pro zertifikat angebbar? oder triggered das bei jeglichem renew?

Ja klar. Das Script was das Zertifikat und das entsprechende Konfigurationsverzeichnis erstellt sieht so aus:

#!/bin/bash

DOMAIN="mail.meinehauptdomain.net"

/usr/local/acme/acme.sh --issue -k 4096 -w /var/www/froxlor -d $DOMAIN

/usr/local/acme/acme.sh --installcert -d $DOMAIN \
--certpath /etc/ssl/letsencrypt/$DOMAIN.crt \
--keypath /etc/ssl/letsencrypt/$DOMAIN.key \
--fullchainpath /etc/ssl/letsencrypt/$DOMAIN.chain.crt \
--capath /etc/ssl/letsencrypt/$DOMAIN.ca.crt \
--reloadcmd "/usr/local/sbin/restart_mailservices"

Der Cronjob für nächtliches Überprüfen und evtl. notwendigen Renew:

0 0 * * *       root    /usr/local/acme/acme.sh --cron --home /usr/local/acme > /dev/null

 

Link to comment
Share on other sites

  • 0
6 hours ago, d00p said:

Bringt froxlor nur bedingt was, zum einen führen wir kein --installcert aus und zum anderen nutzen wir nicht den cron von acme.sh :)

Richtig, aber man kann das acme.sh Script via cron ja parallel für Dovecot, Postfix usw. nutzen. Aragorn hat ja nur nach einer möglichen Lösung gefragt.

Link to comment
Share on other sites

  • 0
vor 23 Stunden schrieb d00p:

Bringt froxlor nur bedingt was, zum einen führen wir kein --installcert aus und zum anderen nutzen wir nicht den cron von acme.sh :)

Siehst Du denn eine Chance, sowas irgendwie in Froxlor zu integrieren? Ich finde, das ist kein ganz unwichtiges Thema.

Link to comment
Share on other sites

  • 0
18 minutes ago, Shortie said:

Dann wäre es aber noch zu begrüßen wenn weitere Namen noch angegeben werden können. Ein Zertifikat was dann bspw. auf mail.domain.de, webmail.domain.de und froxlor.domain.de genutzt werden kann.

 

Das ist bereits möglich, siehe Einstellungen im froxlor vhost

Link to comment
Share on other sites

  • 0

Mein Mailserver (Dovecot+Postfix) nutzt eine Subdomain, die es bereits in Froxlor für den Webserver gibt (mail.domain.de für roundcube). Deshalb benutze ich das Zertifikat, das es bereits gibt in /etc/ssl/froxlor-custom/.

Damit Dovecot + Postfix das neue Zertifikat laden wenn es eins gibt, reloade ich einfach beide Mailserver-Dienste jede Woche Sonntags:

32 2 * * 0 /bin/systemctl reload postfix.service
33 2 * * 0 /bin/systemctl reload dovecot.service

Da die Zertifikate 3 Monate gültig sind, aber nach 2 Monaten bereits erneuert werden, klappt das ganz gut. Und Sonntags um halb 3 Nachts stört der Reload nicht im Geringsten.

 

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now


×
×
  • Create New...