ISPCONFIG 3.1 Fragen zu Lets Encrypt

Dieses Thema im Forum "Entwicklerforum" wurde erstellt von die-andis, 23. Apr. 2016.

  1. die-andis

    die-andis Member

    Finde es ja ganz super das ISPCONFIG jetzt Lets Encrypt unterstützt!

    Hier nun ein paar Fragen zu dem Thema:
    1. kann ich die ServerURL, mit ISPCONFIG Unterstützung, auch per Lets Encrypt absichern (anstatt des selbst generierten SSLCert)?
    2. werden die Zertifikate automatisch erneuert?
    3. werden die Zertifikate auch gleich für die Postfächer genutzt oder kann ich da was einstellen das sie genutzt werden?

    Gruß
    Andreas
     
  2. mzips

    mzips Member

    1. Ja/Nein Automatisch nicht, kannst aber schnell selber machen LE Key erstellen und denn dann mit Symlink auf die Ispconfig generierten leiten.
    2. Ich glaube JA bin mir aber nicht 100% sicher.
    3: Ja werden sie.
     
  3. die-andis

    die-andis Member

    Schönen Guten Morgen,
    wie es aussieht wird das Lets Encrypt Zertifikat nicht automatisch für die Postfächer benutzt. Hier kommt das Serverzertifikat zum Zug.
    Kann ich das Irgendwie ändern?
    Gruß
    Andreas
     
  4. darkness_08

    darkness_08 Member

    Verwendest du Dovecot? Du kannst dort die Konfig anpassen und ein anderes Zertifikat einbinden. Allerdings brauchst du dort ein Zertifikat, was die entsprechenden CN-Einträge enthält.
    So habe ich es bei mir umgesetzt. (Allerdings noch LE ohne ISPConfig-Beta)
     
  5. die-andis

    die-andis Member

    ist in naher Zukunft noch geplant das etwas "komfortabler" über Ispconfig machen zu können?
     
  6. florian030

    florian030 Member

    Wie oft änderst Du denn ein Zertifikat für Mail? Das kann man doch mal im Vorbeigehen von Hand machen.... soweit ich das sehe, kannst Du das via Lets Encrypt eh nciht in jedem Fall automatisieren.
     
  7. die-andis

    die-andis Member

    bin gerade über dem Thema dovecot/postfix anpassen für LE.

    Ich würde da jetzt folgende zwei Daten ändern. Meine Frage davor aber noch. Ich habe mehrere Domains auf dem Server laufen. Kann ich da in den Dateien auch mehrere angeben?

    # Datei /etc/postfix/main.cf
    smtpd_tls_cert_file=/etc/letsencrypt/live/www.meine-domain.de/fullchain.pem
    smtpd_tls_key_file=/etc/letsencrypt/live/www.meine-domain.de/privkey.pem

    # Datei /etc/dovecot/conf.d/10-ssl.conf
    ssl = yes
    ssl_cert = </etc/letsencrypt/live/www.meine-domain.de/fullchain.pem
    ssl_key = </etc/letsencrypt/live/www.meine-domain.de/privkey.pem
     
  8. florian030

    florian030 Member

    Du kannst in dem Zertifikat so viele Server haben wie Du willst. Es muss halt nur zum hostname von postfix passen. Und da postfix kein SNI kann (und auch nciht können wird), bringt Dir das nicht.
    Ergo: Zertifikat für Postfix nur für den Hostnamen. Wenn Du mehrerer willst, brauchst Du pro hostnamen eine IP.
     
  9. die-andis

    die-andis Member

    ah es dämmert mir langsam ;)

    Folgende Frage muss jetzt ja folglich kommen: :D
    Die Zertifikatserstellung-/aktualisierung für die ServerURL wir wohl auch nicht, auf absehbare Zeit komfortabel, mit ISPCONFIG möglich sein?
     
    Zuletzt bearbeitet: 23. Mai 2016
  10. darkness_08

    darkness_08 Member

    Siehe Post #6.
    Entweder richtest du ein Zertifikat für deinen Mailserver ein und diesen tragen deine Kunden bei sich dann entsprechend ein. Oder du erstellst ein Zertifikat, welches alle benötigten Domains enthält. Dieses ist dann anzupassen, wenn eine Domain hinzu kommt oder wegfällt. Kommt natürlich darauf an, wieviele Domains du abdecken willst.
    Läuft so zumindest bei mir ohne Probleme.
    Ansonsten erstelle dioch ein Request https://git.ispconfig.org/ispconfig/ispconfig3/issues

    Gruß
     
  11. florian030

    florian030 Member

    Und wie erklärst Du POstfix, dass der hostname dann auch zum Zertifikat passt?
    EIN Zertifikat für EINEN hostnamen (mail.example.com) und gut ist. Es ist nun wirklich nicht nötig, dass imap.kunde.de genau sp geht wie mail.kunde.de
     
  12. darkness_08

    darkness_08 Member

    er macht es einfach:D
    Ich habe mail.domain1.de, mail.domain2.de, mail.domain3.de usw. Keine Sonderformen wie imap.* oder pop.*
    Das Zertifikat läuft auf den Hostname vom Server und die Domains sind zusätzlich mit angegeben.
     
  13. florian030

    florian030 Member

    Postfix kann kein SNI.
     
  14. darkness_08

    darkness_08 Member

    Vergiss es. Mein Fehler :oops:
    Habe geraden einen mächtigen Knoten im Kopf. Ich habe Dovecot mit Postfix verwechselt.
    Streicht alles ab guten Morgen. Entschuldigung....

    Peinlich :oops:
     

Diese Seite empfehlen