Apple Mail und Mailserver

christian usenet at schani.com
Do Sep 19 14:30:09 CEST 2024


Ich Danke Euch für die Infos.

Gestern Abend hab ich noch mit Let´s Encrypt experimentiert. Auf einer 
anderen unwichtigen Domain, um zu verstehen was da passiert wenn man 2 
Domains in einem Zertifikat anlegt. Das sollte so funktionieren, aber!

Mein Serververwaltungssystem (Froxlor) legt über cron die Zertifikate 
automatisch an und löscht acme Einträge automatisch wenn ich das für 
eine Domain abschalte. Ich könnte zwar parallel dazu eigens eine cron 
mit dem Befehl ausführen, aber ich weis nicht wie dann Froxlor reagiert. 
Evtl. überschreibt er mir die Einträge dann gleich wieder.

Glaube ich werde alles was mit Email zusammenhängt auf die leicht.info 
zusammenführen und die wwl10.leicht.info auflösen. Muss dazu nur die MX 
und SPF Einträge ändern was viel Arbeit macht. Aber ich hab das dann 
alles auf einer domain mit einem Zertifikat. Die leicht.info hat dann 
nur Mail. Die Webseite ist auf www.leicht.info mit eigenem Cert. Apache 
leitet leicht.info sofort auf www.leicht.info um.

Ich glaube das ist der saubere Weg.

Was mein Ihr?
Christian

Am 18.09.2024 um 21:20 schrieb Gerald Galster:
>> ja ich verstehe was Du meinst. Da ist der Fehler drin.
>>
>> leicht.info hat ein Let´sEncrypt Cert das für smtp und pop/imap verwendet wird. Grund: Ich hatte das mal vor 25 Jahren so angelegt weil ich nur ein (teures) Cert für alles hatte. Habs aber nicht geändert da einige User alles so seit Jahren benutzen. OK ist nicht sauber.
>>
>> für die postfix smtpd Seite habe ich ein wwl10.leicht.info Let´sEncrypt Cert.
>>
>> Ihr schreibt das man mehrere Domains in ein Let´sEncrypt Cert packen kann? Wäre das eine Lösung? Wenn leicht.info und wwl10.leicht.info in Eingehend (smtpd) und Ausgehend (smtp) im Postfix angelegt wären?
>>
>> Und wie würde das funktionieren? reicht es leicht.info.crt und wwl10.leicht.info.crt in ein File zu schreiben und das zu verwenden?
>> Oder wird das von Let´sEncrypt extra erstellt?
> 
> Ich würde ein Multidomain-Zertifikat verwenden, da kann man ohne Probleme mehrere Domains abdecken.
> 
> Ein Beispiel für certbot wäre:
> /usr/bin/certbot certonly --reuse-key --webroot -w /var/www/html/certbot --cert-name leicht.info -d leicht.info -d wwl10.leicht.info
> 
>    --webroot nutzt ein vorhandenes Verzeichnis des Webservers
>     -w       sagt wo dieses zu finden ist
>     -d       für jede Domain, die mit dem Zertifikat geschützt werden soll
> 
> Cerbot legt im Webroot temporär Dateien ab, die LetsEncrypt via HTTP(S) abruft und so überprüft ob ein Zertifikat ausgestellt werden darf.
> Wichtig ist: es wird jede angegebene Domain überprüft. Daher sollten alle Anfragen im gleichen Verzeichnis landen.
> 
> Für Apache kann man dazu einen Alias via /etc/httpd/conf.d/certbot.conf anlegen (einfach die Datei erstellen):
> 
> Alias /.well-known/acme-challenge/ "/var/www/html/certbot/.well-known/acme-challenge/"
> 
> 
> Danach den Pfad anlegen (mkdir -p /var/www/html/certbot/.well-known/acme-challenge) und den Webserver neu starten.
> So gehen die /.well-known/acme-challenge/ Anfragen für jeden VirtualHost nach /var/www/html/certbot/...
> 
> Wurde das Zertifikat erstellt, kannst Du es so überprüfen:
> 
> openssl x509 -text < /etc/letsencrypt/live/leicht.info/cert.pem
> 
> In der Ausgabe suchst Du nach "X509v3 Subject Alternative Name" und die Zeile darunter zeigt via DNS:<domain> alle Domainnamen an.
> 
> Bei postfix, dovecot und httpd verwendet man nun immer das selbe Zertifikat, da es alle Domainnamen enthält.
> Also z.B. /etc/letsencrypt/live/leicht.info/fullchain.pem für das Zertifikat und /etc/letsencrypt/live/leicht.info/privkey.pem für den privaten Schlüssel.
> 
> Das Beispiel musst Du für Dich anpassen. Evtl. heißt der Webserver bei Dir apache2 statt httpd und vielleicht verwendest Du ein anderes Tool statt cerbot, ...
> 
> Solltest Du auf dem selben Server auch Webhosting für verschiedene Kunden/Domains anbieten, dann erstellst Du für diese weiterhin ein eigenes Zertifikat.
> Nur die ganzen Systemdienste (postfix, dovecot, der httpd selbst) würde ich in einem Multidomain-Zertifikat bündeln.
> 
> Viele Grüße
> Gerald
> 
> 



Mehr Informationen über die Mailingliste Postfixbuch-users