ISP3 + SSL
- Ersteller des Themas hahni
- Erstellungsdatum
Hier findest Du ein Beispiel:
https://knowledge.digicert.com/solution/SO17759.html
Auch ein Blick ins dovecot Manual sollte hilfreich sein: https://wiki.dovecot.org/SSL/DovecotConfiguration
https://knowledge.digicert.com/solution/SO17759.html
Auch ein Blick ins dovecot Manual sollte hilfreich sein: https://wiki.dovecot.org/SSL/DovecotConfiguration
Der erste Eintrag scheint sich ja auf RapidSSL beziehen. Wir aber setzen LE ein. Und bei der Anleitung von Dovecot: ist nicht eigentlich alles in der Anleitung von HowToForge abgehandelt? Ich würde es so verstehen, dass alles nach Durchführung der Anleitung einwandfrei funktionieren sollte?
So dachte ich mir das auch aufgrund deiner tollen Beschreibung und Konfigurationsanleitung. Woran aber könnte es dann liegen, dass bei iPhones eben gerade beim Versand der Mails der Fehler kommt, dass die Nachrichten nicht versendet werden können, weil der Server nicht vertrauenswürdig sei?
florian030
Well-Known Member
Ich würde eher darauf tippen, dass für den Ausgangsserver ein falscher Name eingetragen ist. Das muss schon der Name sein, der im Zertifikat enthalten ist und nicht sowas wie mail.kunden.de
Angeblich ist es wohl laut meinem Reseller nun so, dass er bei seinen Kunden das IMAP-Konto neu einrichtet und plötzlich soll es funktionieren. Mich hatte ohnehin gewundert, dass dies speziell ein Problem mit iPhones ist. Aber ich prüfe das auch noch einmal sicherheitshalber im Log. Vielen Dank, dass du dir die Zeit genommen hast, mich mit Lösungsansätzen zu versorgen.
Hallo Till,
vor dem Update von 14.04 auf 16.04 ist mir schon aufgefallen, dass das icron-Skript scheinbar nicht läuft (Vermutung). Seit dem Update auf 16.04 sind heute die Zertifikate der ersten Webseiten abgelaufen und wurden nicht erneuert. Ich bin nach dem Ubuntu-Update noch einmal alle nötigen Schritte durchgegangen. Unter anderem auch die Installation von Lets Encrypt. Ich weiß aber nicht mehr, wie ich LE auf 14.04 installiert hatte, weil ich da glaube ich noch nicht auf die LE-Tools zurückgreifen konnte, weil die nicht in der Dist enthalten waren. Fakt ist, dass die Zertifikate nicht erneuert werden und ich nicht weiß, wie ich das wieder zum laufen bekomme. Das icron-Skript kann die Ursache ja nicht sein. Es kopiert ja nur die Zertifikate um. Aber es generiert ja keine neuen, richtig? Wie bekomme ich das denn zum Laufen.
Besten Dank für deine Mithilfe!
LG von
Hahni
Stimmt eigentlich die /etc/cron.d/certbot bei mir?
--
# /etc/cron.d/certbot: crontab entries for the certbot package
#
# Upstream recommends attempting renewal twice a day
#
# Eventually, this will be an opportunity to validate certificates
# haven't been revoked, etc. Renewal will only occur if expiration
# is within 30 days.
SHELL=/bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(43200))' && certbot -q renew
--
--
# /etc/cron.d/certbot: crontab entries for the certbot package
#
# Upstream recommends attempting renewal twice a day
#
# Eventually, this will be an opportunity to validate certificates
# haven't been revoked, etc. Renewal will only occur if expiration
# is within 30 days.
SHELL=/bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(43200))' && certbot -q renew
--
Hallo Till,
ich habe deinen Tipp befolgt und natürlich auch den Cron-Dienst neu gestartet. Nun stellt sich aber zwecks Kontrolle die Frage, wie ich prüfen kann, ob die Erneuerung seitens ISPConfig auch ordentlich funktioniert. Denn ich konnte ja gestern nur mit dem certbot die Zertifikate erneuern. Sonst nämlich wären sie weiterhin abgelaufen geblieben.
LG von
Björn
ich habe deinen Tipp befolgt und natürlich auch den Cron-Dienst neu gestartet. Nun stellt sich aber zwecks Kontrolle die Frage, wie ich prüfen kann, ob die Erneuerung seitens ISPConfig auch ordentlich funktioniert. Denn ich konnte ja gestern nur mit dem certbot die Zertifikate erneuern. Sonst nämlich wären sie weiterhin abgelaufen geblieben.
LG von
Björn
iOS macht auch bei mir regelmäßig stress mit den LE Zertifikaten.
In aller Regel liegt das am falschen Mailserver im iOS: Wenn das cert auf "hostname.domain.tld" lautet, der Kunde aber "mail.kundendomain.tld" verwendet, ist der Server nicht vertrauenswürdig!
Auch erkennt iOS beim iPhone 6 und iPhone 7 abgelaufene Zertifikate nur als "abgelaufen", scheint aber nicht nach einem neuen Cert zu suchen. Dagegen hilft, das Mailkonto auf dem iFön neu einzurichten, was alle 90 Tage echt nervig ist. Erstaunlicherweise haben mein iPad mini 1 und mein iPad diese Probleme nicht... Alle unsere iPads (insgesamt ~10 Stück, die auf die Mails zugreifen) verwenden ungefragt auch abgelaufene Mailzertifikate.
Das Problem hatte ich auch schon, thommy. Ich nehme seitdem als Mail-Server nur noch die Kundendomain, da auf diese ja auch immer das Zertifikat ausgestellt ist. Seitdem gibt es auch keine Probleme mehr mit den iPhones. Und die Sache mit dem Log beobachte ich in der Hoffnung, dass es an dem zweiten Cronjob lag.
du legst also für jeden kunden die Subdomain "mail" an, nur damit der Cert-Fehler unterdrückt wird?