ISPCONFIG 3.1 Fragen zu Lets Encrypt

#1
Finde es ja ganz super das ISPCONFIG jetzt Lets Encrypt unterstützt!

Hier nun ein paar Fragen zu dem Thema:
1. kann ich die ServerURL, mit ISPCONFIG Unterstützung, auch per Lets Encrypt absichern (anstatt des selbst generierten SSLCert)?
2. werden die Zertifikate automatisch erneuert?
3. werden die Zertifikate auch gleich für die Postfächer genutzt oder kann ich da was einstellen das sie genutzt werden?

Gruß
Andreas
 
#2
1. Ja/Nein Automatisch nicht, kannst aber schnell selber machen LE Key erstellen und denn dann mit Symlink auf die Ispconfig generierten leiten.
2. Ich glaube JA bin mir aber nicht 100% sicher.
3: Ja werden sie.
 
#3
Schönen Guten Morgen,
wie es aussieht wird das Lets Encrypt Zertifikat nicht automatisch für die Postfächer benutzt. Hier kommt das Serverzertifikat zum Zug.
Kann ich das Irgendwie ändern?
Gruß
Andreas
 
#4
Verwendest du Dovecot? Du kannst dort die Konfig anpassen und ein anderes Zertifikat einbinden. Allerdings brauchst du dort ein Zertifikat, was die entsprechenden CN-Einträge enthält.
So habe ich es bei mir umgesetzt. (Allerdings noch LE ohne ISPConfig-Beta)
 
#6
Wie oft änderst Du denn ein Zertifikat für Mail? Das kann man doch mal im Vorbeigehen von Hand machen.... soweit ich das sehe, kannst Du das via Lets Encrypt eh nciht in jedem Fall automatisieren.
 
#7
bin gerade über dem Thema dovecot/postfix anpassen für LE.

Ich würde da jetzt folgende zwei Daten ändern. Meine Frage davor aber noch. Ich habe mehrere Domains auf dem Server laufen. Kann ich da in den Dateien auch mehrere angeben?

# Datei /etc/postfix/main.cf
smtpd_tls_cert_file=/etc/letsencrypt/live/www.meine-domain.de/fullchain.pem
smtpd_tls_key_file=/etc/letsencrypt/live/www.meine-domain.de/privkey.pem

# Datei /etc/dovecot/conf.d/10-ssl.conf
ssl = yes
ssl_cert = </etc/letsencrypt/live/www.meine-domain.de/fullchain.pem
ssl_key = </etc/letsencrypt/live/www.meine-domain.de/privkey.pem
 
#8
Du kannst in dem Zertifikat so viele Server haben wie Du willst. Es muss halt nur zum hostname von postfix passen. Und da postfix kein SNI kann (und auch nciht können wird), bringt Dir das nicht.
Ergo: Zertifikat für Postfix nur für den Hostnamen. Wenn Du mehrerer willst, brauchst Du pro hostnamen eine IP.
 
#9
ah es dämmert mir langsam ;)

Folgende Frage muss jetzt ja folglich kommen: :D
Die Zertifikatserstellung-/aktualisierung für die ServerURL wir wohl auch nicht, auf absehbare Zeit komfortabel, mit ISPCONFIG möglich sein?
 
Zuletzt bearbeitet:
#10
Siehe Post #6.
Entweder richtest du ein Zertifikat für deinen Mailserver ein und diesen tragen deine Kunden bei sich dann entsprechend ein. Oder du erstellst ein Zertifikat, welches alle benötigten Domains enthält. Dieses ist dann anzupassen, wenn eine Domain hinzu kommt oder wegfällt. Kommt natürlich darauf an, wieviele Domains du abdecken willst.
Läuft so zumindest bei mir ohne Probleme.
Ansonsten erstelle dioch ein Request https://git.ispconfig.org/ispconfig/ispconfig3/issues

Gruß
 
#11
Entweder richtest du ein Zertifikat für deinen Mailserver ein und diesen tragen deine Kunden bei sich dann entsprechend ein.
Und wie erklärst Du POstfix, dass der hostname dann auch zum Zertifikat passt?
EIN Zertifikat für EINEN hostnamen (mail.example.com) und gut ist. Es ist nun wirklich nicht nötig, dass imap.kunde.de genau sp geht wie mail.kunde.de
 
#12
er macht es einfach:D
Ich habe mail.domain1.de, mail.domain2.de, mail.domain3.de usw. Keine Sonderformen wie imap.* oder pop.*
Das Zertifikat läuft auf den Hostname vom Server und die Domains sind zusätzlich mit angegeben.
 
#14
Vergiss es. Mein Fehler :oops:
Habe geraden einen mächtigen Knoten im Kopf. Ich habe Dovecot mit Postfix verwechselt.
Streicht alles ab guten Morgen. Entschuldigung....

Peinlich :oops:
 

Werbung