Letsencrypt für Postfix/Courier/Dovecot mehrere Domains

etron770

Member
Mit einem manuell erstellten LetsEncypt Zertifikat ist ja relativ einfach:


/etc/dovecot/dovecot.conf:
ssl_cert = </etc/letsencrypt/live/mail.mydomain.de.de/fullchain.pem
ssl_key = </etc/letsencrypt/live/mail.three-greens.de/fullchain.pem

/etc/postfix/main.cf:
smtpd_tls_cert_file = /etc/letsencrypt/live/mail.mydomain.de.de/fullchain.pem
smtpd_tls_key_file = /etc/letsencrypt/live/mail.mydomain.de.de/privkey.pem

Zertifikate zusammenfassen
cat /etc/letsencrypt/live/mail.mydomain.de/privkey.pem /etc/letsencrypt/live/mail.mydomain.de.de/fullchain.pem > /etc/letsencrypt/live/mail.mydomain.de.de/mail.mydomain.de.all.pem


/etc/courier/imapd-ssl und /etc/courier/po3d-ssl
TLS_CERTFILE=/etc/letsencrypt/live/mail.mydomain.de.de/mail.mydomain.de.all.pem


Kann man in den Config Dateien auch mail.mydomai.de durch eine Variable ersetzten, die dann die Zertifikate aus dem Verzeichnis nimmt?
also:
/etc/letsencrypt/live/mail.myotherdomain.de
und wenn möglich je nachdem was im Mailclient eingegeben wurde
/etc/letsencrypt/live/smpt.myotherdomain.de
/etc/letsencrypt/live/imapl.myotherdomain.de
 

robotto7831a

Active Member
Du kannst in Postfix und Co nur verschiedene SSL Zertifikate benutzen, wenn Du für jede Domain eine eigene IP Adresse hast. Postfix und Dovecot untersützten kein SNI.
 

etron770

Member
Das ist ungünstig, denn scheinbar erlauben z.B neue Iphones nicht mehr selbst erstellte Zerifikate bei Mail zu benutzen. Kann das jemand mit neuerem Iphone bestätigen?
Dann bleibt dem Nutzer nur noch eine manuelle Eingabe der mit geprüftem Zertifikat versehenen URL als Mailserver. Eine automaitsche Konfiguration anhand der Mailadresse scheidet damit aus.
 

robotto7831a

Active Member
Darum macht man ja auch Zugriffe ala mail.verwaltungsdomain.tld und nicht für jede Kundendomain eine Subdomain ala mail.kunde1.tld, mail.kunde2.tld usw.
 

etron770

Member
Klar, das ist die Möglichkeit aus der Sicht des ServerAdmins, aber aus der Sicht des Anwenders nimmt z.B Thunderbird die Mailadresse name@kunde1.tld und sucht beim Servern nach
mail.kunde1.tld
smtp.kunde1.tld
imap.kunde1.tld

Nun kann ich hier ein selbst erstelltes Zertifikat einrichten , das scheint Apple nicht mehr anzunehmen, oder manche Nutzer sind damit überfordert Thunderbird manuell einzurichten.
Und das ist das wichtigere Argument.
 

Werbung

Top