LE Cert für FTP und Mail Fragen

#1
Hi,
ich habe mir das Tut https://www.howtoforge.com/tutorial/securing-ispconfig-3-with-a-free-lets-encrypt-ssl-certificate angesehen und noch ein paar Fragen.
Wenn ich das Zertifikat so für FTP und Mail einrichte, müssen dann alle z.B. am Smartphone den fqdn für IMAP und SMTP eingeben, damit sie keinen Zert-Fehler erhalten? Aktuell ist es so, wenn man IMAP nutzen möchte, dass auf ein ungültiges Zert hingewiesen wird, dem man dann mittels SSL (alle Zertifikate) vertrauen muss. Als Server wurde im DNS mail.domain.tld eingerichtet. Ich hatte das Tut so verstanden, dass dies dann nicht mehr notwendig ist und man SSL als Option auswählen kann. Wenn ich das richtig verstehe, dann muss ich eine Webseite je DNS / SubDomain einrichten, z.B. ftp. imap. smtp. ... Wie handhabt ihr das?

Bei der Verbindung ftp:// mit Filezilla erhalte ich den Hinweis dass das Zert veraltert ist, die Pfade etc stimmen. Dienste sind neugestartet und auch das Zert ist von LE. Woran kann das liegen? ftps:// wird gleich verweigert und klappt gar nicht.

Ach und noch ein Punkt. Da ja eine Webseite im Panel erstellt wird. Ist diese auch aktiv. Wenn der Benutzer statt 8080 für das Panel den Port weg lässt gelangt er nun auf die Wilskommensseite. Das sieht nicht toll aus. Sprich kann man die deaktivieren, oder auf eine andere z.B. umleiten, oder gibt es dann Probleme mit dem Cert?

Idee? - Danke
 
Zuletzt bearbeitet:

Till

Administrator
#2
Der Zugriff auf Server Dienste sollte über den hostnamen des Servers erfolgen denn für den wurde auch das SSL cert ausgestellt und nicht übder Domains von Kunden.

Ach und noch ein Punkt. Da ja eine Webseite im Panel erstellt wird. Ist diese auch aktiv. Wenn der Benutzer statt 8080 für das Panel den Port weg lässt gelangt er nun auf die Wilskommensseite. Das sieht nicht toll aus. Sprich kann man die deaktivieren, oder auf eine andere z.B. umleiten, oder gibt es dann Probleme mit dem Cert?
WEenn Du Provider bist dann solltest Du da natürlich eine auf deine Firma zugeschnittene Seiete ablegen. denn ansonsten würde der user ebi eingabe des hoatnamens ja auf der ersten seite Deiner Kunden landen, also nicht wirklich besser.
 
#3
Hi Till,
ok der Punkt mit dem Servernamen macht Sinn. Wobei mich das grade etwas verwirrt, denn beim mailing z.B. habe ich im DNS als MX, mail.kundendomain.tld der auf den Hostnamen kundendomain.tld zeigt. (Shared-Hosting, selbe IP also) Dieser Eintrag wird auch vom Kunden für die Mailclients verwendet, was bisher keine Probleme verursacht. Nun verstehe ich das so, dass der MX auf den FQDN des Servers zeigen muss, also mail.servernamen.tld mit Hostname des Servers. Erkläre mir das mal bitte..thx

In der Regel werden ja Subdomains wie ftp.firmendomain.tld oder smtp.firmendomain.tld oder imap.firmendomain.tld verwendet. Nach der Anleitung ist es ja der FQDN, der ja nicht den obigen Adressen entspricht. Aus meiner aktuellen Sicht könnte ein DNS-Alias dies erledigen, aber wäre das dann aus der Sicht des Zerts nicht ein Problem, bzw. wie kann man das lösen? Evtl. eine weitere Seite und diese statt FQDN mit der obigen FQDN Adressen als imap usw?? Die dann auf die Firmenwebseite umleiten? Klingt alles merkwüdig. LE bietet doch auch Wildcard, wäre das nicht die bessere Lösung? also statt FQDN des Servers im Zert, alle *.firmename.tld zu verwenden?

Ach und nach der Umsetzung bzgl. pure-ftdp wird noch ein altes Zert verwendet und nicht das aktuelle, was auch von dem des FQDN entspricht. Symlinks scheinen alle zu stimmen. Idee woran das liegen kann?
 

Till

Administrator
#4
das Problem ist folgendes. Du wirst für jede Domain oder subdomain die nicht im SSL cert enthalten ist einen SSL fehler bekommen. Mit dem DNS MX hat das nichts zu tun. Um das Problem zu umgehen nimmt man im Allgemeinen den server hostnamen im email client und nicht eine subdomain der kundendomain. Denn in ein LE cert kannst Du nicht beliebig veiel domains und subdomains rein packen, da ist glaube ich bei 100 schluss.

zu pure-ftpd, wenn er noch ein altes cert nimmt, dann muss das alte cert ja noch da sein und nicht das neue, oder Du hast ihn nicht neu gestartet.
 
#5
Ok das mit dem LE Zert verstehe ich.

Für das Panel ist das kein Thema, dass läuft, wie bei anderen Webseiten halt auch - danke für die Funktion im Panel..

Bei Mail habe ich es eben mal ausprobiert und unter Angabe des Severs mittels FQDN und SSL für IMAP und Port 993 und SMTP mit SSL Port 465 ohne Probleme angebunden - toll. Schön wie schon geschrieben, wäre halt nen Alias oder Subdomain wie imap. oder smtp. Aber soweit ich das jetzt verstehe könnte ich das genauso handhaben - Webseite erstelle und die Symlinks für Dovecot und Postfix darauf zeigen lassen, richtig?

PureFTP habe ich auch nochmal alle Schritte nachvollzogen und auch den Service neugestartet, aber irgendwie meldet er ein LE das bis 2018 gültig war. Installation ist Standard - muss hier ggf. was angepasst werden?
 

Werbung

Top