ISPConfig 3 und StartSSL

Benedict

Member
Hi,

anhand des Tutorial zur Absicherung von ISPConfig 3 mit StartSSL kann ich nun wie erwartet die Seite aufrufen. Eigentlich sollten doch dann auch Sicherheits-Ausnahmeregel für alle Mail-Konten ausbleiben, die unter ISPConfig verwaltet werden! Das klappt aber noch nicht. Welche Punkte muss man denn da beachten, wenn es nach dem Tutorial nicht geht? Ich habe StartCom Ltd. unter den Zertifizierungsstellen des Zertifikat-Managers (Thunderbird) rausgesucht und das auf zwei PCs. Da gibt es Unterschiede bzgl. Einträge: es fehlt einmal der Eintrag "StartCom Class 1 Primary Intermediate Server CA" (Anmeldung?!).
Kennt jemand diesen Sachverhalt insgesamt? Habe ich etwas übersehen? Ein gschlossener Port ist es jedenfalls nicht (mehr). :)
 

Benedict

Member
Also es ist tatsächlich so, dass jedenfalls unter Thunderbird mit einem neuen Profil für jedes erste neu erstellte Mailkonto die Ausnahmeregel erscheint, dann nicht mehr und es hängt mit dem Intermediate-CA-Zertifikat (StartSSL) zusammen, das sozusagen initial mit dem ersten Konto übernommen wird, wenn dies so richtig formuliert ist. Man kann dies in "Zertifizierungsstellen" beobachten. Wenn dies so ist, wo stimmt dann etwas nicht? Server-Postfix-Dovecot-Konfiguration? Die Ausnahme betrifft initial Port 993.

Wer weiss da mehr bitte?

Danke!
 

Till

Administrator
Wahrscheinlich muss Du die intermediate Cerzificates von Startssl mit in die .pem datei von Dovecot aufnehmen sowie diese auch in der postfx Konfigurationsdatei angeben.
 

Benedict

Member
Danke! Nach zweimaligem Test, jeweils mit einem neuen Profil unter Thunderbid, hat es jetzt geklappt, d.h. die Ausnahmen bleiben aus. Wie Du sagst muss man für dovecot kombinieren: ich habe das Zwischenzertifikat dem Serverzertifikat hinzugefügt, d.h. Serverzertifikat gefolgt vom Zwischenzertifikat und Root-Zertifikat in eine Datei zusammenkopiert in /usr/local/ispconifg/interface/ssl. Dann habe ich in /etc/postfix wie im Tutorial zu Punkt 6, einen weiteren Link gesetzt. In der Konfigurationsdatei von dovecot dann für ssl_cert darauf verwiesen. Kann man vielleicht noch sauberer machen, aber immerhin: es geht! Irgenwie unklar?
In der postfix-Konfigurationsdatei musste ich da jetzt nichts machen?

Schönen Gruß!
 

Werbung

Top