Let´s Encrypt Cron Job ergänzen

A

andy1965

Member
Hallo Leute!


Ich erstelle mittels Let´s Encrypt auf einer ISPConfig Site auch die Zertifikate für den Mailserver, die Site hat dafür den Domainnamen des Mailsservers bekommen. Für POP/S benötige ich jedoch ein kombiniertes Zertifikat welches ich wie folgt erstelle:

cat /etc/letsencrypt/live/mailbox.geheim.com/privkey.pem /etc/letsencrypt/live/mailbox.geheim.com/fullchain.pem > /etc/letsencrypt/live/mailbox.geheim.com/courier.pem

Dies sollte genau dann erfolgen wenn die Zertifikate für diese Domain erneuert wurden.

Kann ich irgendwie das Kommando dem Let´s Encrypt Cron Job hintendran hängen?

Danke für Eure Tipps!
 
R

robotto7831a

Well-Known Member
Schreib doch ein Shellskript, welches um 6 Uhr läuft und prüft, ob für die Domain ein neues Zertifikat ausgestellt wurde. Wenn ja, dann führe dein Skript aus.
 
N

nowayback

Well-Known Member
certbot hat z.b. für renew den parameter --post-hook mit dem du nach dem erfolgreichen renew einen befehl ausführen kannst, wenn dir das weiterhilft
 
A

andy1965

Member
@robotto7831a

Leider Fragen die User ihre Email z.B. alle 15min am Handy ab. Während es Android Handys egal ist wenn das Zertifikat abläuft, flippen die Deppel äh Appel Handys aus und es poppt ständig eine Fehlermeldung auf, die leider auch bestehen bleibt wenn das Zertifikat zeitnah wieder neu erstellt wurde.
Die Benutzer haben dann morgens eine Fehlermeldung am Handy und unsere Telefone laufen heiß :-(

@nowayback

Guter Ansatz, das sehe ich mir näher an.

Vielleicht hat noch jemand einen Tipp wie ich das implementieren kann ohne dass das mit ISPConfig in Konflikt kommt oder die Einstellungen nach jedem Update wieder überschrieben werden.
 
N

nowayback

Well-Known Member
Zitat von andy1965:
@robotto7831a

Leider Fragen die User ihre Email z.B. alle 15min am Handy ab. Während es Android Handys egal ist wenn das Zertifikat abläuft, flippen die Deppel äh Appel Handys aus und es poppt ständig eine Fehlermeldung auf, die leider auch bestehen bleibt wenn das Zertifikat zeitnah wieder neu erstellt wurde.
Die Benutzer haben dann morgens eine Fehlermeldung am Handy und unsere Telefone laufen heiß :-(

@nowayback

Guter Ansatz, das sehe ich mir näher an.

Vielleicht hat noch jemand einen Tipp wie ich das implementieren kann ohne dass das mit ISPConfig in Konflikt kommt oder die Einstellungen nach jedem Update wieder überschrieben werden.
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Man könnte es folgendermaßen machen:
Beispiel:
* Mailserver heißt mail.example.com
* Kunden erhalten diese Adresse auch, um sich via IMAP/POP3/Submission bei den Diensten zu melden.
* Im ISPConfig eine neue Domain anlegen: mail.example.com, DNS prüfen, dass diese auch auf den Server zeigt, LE anhaken und Zertifikat dafür abholen
* Im Postfix gucken welches Zertifikat gerade verwendet wird (Standard dürfte smtpd.xxx sein) und dieses in /etc/postfix/umbenennen
* in /etc/postfix/ symlinks erstellen smtpd.key und smtpd.cert auf die LE Zertifikate unter /var/www/mail.example.com/ssl/mail.example.com-le.key und /var/www/mail.example.com/ssl/mail.example.com-le.crt

dovecot sollte die gleichen zertifikate konfiguriert haben wie postfix und damit bist du fertig.
 
A

andy1965

Member
@robotto7831a
genau so habe ich es gemacht ;-), nur die pfade hab ich anders definiert, siehe meinen Befehl

Es geht darum das kombinierte .pem zu erzeugen, das macht lets ... nämlich nicht und unmittelbar nach der Aktualisierung durch den certbot das .pem zu erzeugen, das war meine Frage.

Meine Lösung läuft schon seit Monaten einwandfrei nur muss ich das .pem manuell aktualisieren und das will ich automatisieren
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Werbung

Top