ISPCONFIG 3.1 Fragen zu Lets Encrypt

die-andis

Member
Finde es ja ganz super das ISPCONFIG jetzt Lets Encrypt unterstützt!

Hier nun ein paar Fragen zu dem Thema:
1. kann ich die ServerURL, mit ISPCONFIG Unterstützung, auch per Lets Encrypt absichern (anstatt des selbst generierten SSLCert)?
2. werden die Zertifikate automatisch erneuert?
3. werden die Zertifikate auch gleich für die Postfächer genutzt oder kann ich da was einstellen das sie genutzt werden?

Gruß
Andreas
 

mzips

Member
1. Ja/Nein Automatisch nicht, kannst aber schnell selber machen LE Key erstellen und denn dann mit Symlink auf die Ispconfig generierten leiten.
2. Ich glaube JA bin mir aber nicht 100% sicher.
3: Ja werden sie.
 

die-andis

Member
Schönen Guten Morgen,
wie es aussieht wird das Lets Encrypt Zertifikat nicht automatisch für die Postfächer benutzt. Hier kommt das Serverzertifikat zum Zug.
Kann ich das Irgendwie ändern?
Gruß
Andreas
 
Verwendest du Dovecot? Du kannst dort die Konfig anpassen und ein anderes Zertifikat einbinden. Allerdings brauchst du dort ein Zertifikat, was die entsprechenden CN-Einträge enthält.
So habe ich es bei mir umgesetzt. (Allerdings noch LE ohne ISPConfig-Beta)
 

florian030

Well-Known Member
Wie oft änderst Du denn ein Zertifikat für Mail? Das kann man doch mal im Vorbeigehen von Hand machen.... soweit ich das sehe, kannst Du das via Lets Encrypt eh nciht in jedem Fall automatisieren.
 

die-andis

Member
bin gerade über dem Thema dovecot/postfix anpassen für LE.

Ich würde da jetzt folgende zwei Daten ändern. Meine Frage davor aber noch. Ich habe mehrere Domains auf dem Server laufen. Kann ich da in den Dateien auch mehrere angeben?

# Datei /etc/postfix/main.cf
smtpd_tls_cert_file=/etc/letsencrypt/live/www.meine-domain.de/fullchain.pem
smtpd_tls_key_file=/etc/letsencrypt/live/www.meine-domain.de/privkey.pem

# Datei /etc/dovecot/conf.d/10-ssl.conf
ssl = yes
ssl_cert = </etc/letsencrypt/live/www.meine-domain.de/fullchain.pem
ssl_key = </etc/letsencrypt/live/www.meine-domain.de/privkey.pem
 

florian030

Well-Known Member
Du kannst in dem Zertifikat so viele Server haben wie Du willst. Es muss halt nur zum hostname von postfix passen. Und da postfix kein SNI kann (und auch nciht können wird), bringt Dir das nicht.
Ergo: Zertifikat für Postfix nur für den Hostnamen. Wenn Du mehrerer willst, brauchst Du pro hostnamen eine IP.
 

die-andis

Member
ah es dämmert mir langsam ;)

Folgende Frage muss jetzt ja folglich kommen: :D
Die Zertifikatserstellung-/aktualisierung für die ServerURL wir wohl auch nicht, auf absehbare Zeit komfortabel, mit ISPCONFIG möglich sein?
 
Zuletzt bearbeitet:
Siehe Post #6.
Entweder richtest du ein Zertifikat für deinen Mailserver ein und diesen tragen deine Kunden bei sich dann entsprechend ein. Oder du erstellst ein Zertifikat, welches alle benötigten Domains enthält. Dieses ist dann anzupassen, wenn eine Domain hinzu kommt oder wegfällt. Kommt natürlich darauf an, wieviele Domains du abdecken willst.
Läuft so zumindest bei mir ohne Probleme.
Ansonsten erstelle dioch ein Request https://git.ispconfig.org/ispconfig/ispconfig3/issues

Gruß
 
er macht es einfach:D
Ich habe mail.domain1.de, mail.domain2.de, mail.domain3.de usw. Keine Sonderformen wie imap.* oder pop.*
Das Zertifikat läuft auf den Hostname vom Server und die Domains sind zusätzlich mit angegeben.
 
Vergiss es. Mein Fehler :oops:
Habe geraden einen mächtigen Knoten im Kopf. Ich habe Dovecot mit Postfix verwechselt.
Streicht alles ab guten Morgen. Entschuldigung....

Peinlich :oops:
 

Werbung

Top