pdadmin-forum

pdadmin-forum » PD-Admin » Anwendung » Zertifikat erneuert - wie in Dovecot aktualisieren? » Hallo Gast [Anmelden|Registrieren]
Letzter Beitrag | Erster ungelesener Beitrag Druckvorschau | An Freund senden | Thema zu Favoriten hinzufügen
Neues Thema erstellen Antwort erstellen
Zum Ende der Seite springen Zertifikat erneuert - wie in Dovecot aktualisieren?
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »
tbc233
Moderator


Dabei seit: 23.09.2005
Beiträge: 608
Herkunft: Linz, Österreich

Zertifikat erneuert - wie in Dovecot aktualisieren? Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Ich habe das Zertifikat eines Servers erneuert, die /administrator Oberfläche und phpMyadmin etc. funktionieren alle korrekt und zeigen das korrekte, nicht abgelaufene Zerti an.
Also alle zertifikat Dateien für den Hostnamen des Servers unter /opt/pdadmin/sslcerts sind aktuell.

Leider verwendet aber Dovecot und qmail noch das alte Zertifikat. Wie kann ich Dovecot dazu bringen das aktualisierte Zertifikat zu verwenden? Für die Zukunft vielleicht gleich automatisiert?

__________________
Beste Grüße,
Michael
31.01.2017 08:51 tbc233 ist offline E-Mail an tbc233 senden Beiträge von tbc233 suchen Nehme tbc233 in Deine Freundesliste auf
tbc233
Moderator


Dabei seit: 23.09.2005
Beiträge: 608
Herkunft: Linz, Österreich

Themenstarter Thema begonnen von tbc233
Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Ich hab jetzt mal manuell die Zertifikatsdateien zusammenkopiert so wie es in dem dc-install Skript gemacht wird. Nun funktioniert es.

Trotzdem die Frage - ist hier keine automatisierte Aktualisierung der mailrelevanten Zertifikatsdateien vorgesehen?

__________________
Beste Grüße,
Michael
31.01.2017 09:42 tbc233 ist offline E-Mail an tbc233 senden Beiträge von tbc233 suchen Nehme tbc233 in Deine Freundesliste auf
Daniel Bradler
PD-Admin Dev

Dabei seit: 11.09.2004
Beiträge: 2.370

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Eine automatische Aktualisierung gibt es im Moment leider nicht. Wir werden es als Feature-Request aufnehmen.
03.02.2017 12:31 Daniel Bradler ist offline Beiträge von Daniel Bradler suchen Nehme Daniel Bradler in Deine Freundesliste auf
tbc233
Moderator


Dabei seit: 23.09.2005
Beiträge: 608
Herkunft: Linz, Österreich

Themenstarter Thema begonnen von tbc233
Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Ok Danke. Wichtiger Punkt denke ich, weil speziell bei Leuten die die dreimonatigen LetsEncrypt Zertifikate einsetzen wirds wohl ebenfalls bald erstmals unruhig werden. Speziell die Iphones meiner Kunden waren hier nach dem Ablauf des Zertis sehr unkooperativ. Auch noch tagelang als das Zerti schon wieder eneuert war.

__________________
Beste Grüße,
Michael
03.02.2017 12:33 tbc233 ist offline E-Mail an tbc233 senden Beiträge von tbc233 suchen Nehme tbc233 in Deine Freundesliste auf
tbc233
Moderator


Dabei seit: 23.09.2005
Beiträge: 608
Herkunft: Linz, Österreich

Themenstarter Thema begonnen von tbc233
Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Demnächst laufen die nächsten Zertifikate bei uns ab (https wird dank Skripte ja problemlos erneuert, imaps/pop3s ja leider nicht). Da ich mich schon vor hunderten Anrufern von iphone Usern fürchte, deren Telefone dann das Mailen verweigern, würde ich um eine kurze Doku bitten wie und an welche Stelle die Zertifikatsdateien zusammenkopiert werden müssen, damit auch für die Maildienste die Erneuerung der Zertifikate klappt.

__________________
Beste Grüße,
Michael
01.03.2017 05:36 tbc233 ist offline E-Mail an tbc233 senden Beiträge von tbc233 suchen Nehme tbc233 in Deine Freundesliste auf
tbc233
Moderator


Dabei seit: 23.09.2005
Beiträge: 608
Herkunft: Linz, Österreich

Themenstarter Thema begonnen von tbc233
Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Offenbar bin ich der Einzige den das Thema tangiert und bei dem die Telefone heiß laufen wenn mal wieder die mailrelevanten Zertifikate abgelaufen sind.

Wie auch immer, ich habe es nun mit einem Script gelöst, einmal wöchentlich via Cron - Aufruf scriptname.sh "vollständiger.hostname":
code:
1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
#!/bin/bash

H=$1

set -e
set -x

cat /opt/pdadmin/sslcerts/$H-key /opt/pdadmin/sslcerts/$H-cert /opt/pdadmin/sslcerts/$H-cacert > /var/qmail/control/servercert.pem
cat /opt/pdadmin/sslcerts/$H-key /opt/pdadmin/sslcerts/$H-cert > /usr/local/pd-admin2/share/imapd.pem
cat /opt/pdadmin/sslcerts/$H-cacert > /usr/local/pd-admin2/share/imapd.cacert
cat /opt/pdadmin/sslcerts/$H-cacert > /etc/ssl/cert.pem
svc -du /service/dovecot22/


__________________
Beste Grüße,
Michael
11.03.2017 17:17 tbc233 ist offline E-Mail an tbc233 senden Beiträge von tbc233 suchen Nehme tbc233 in Deine Freundesliste auf
Eisenherz
Moderator


Dabei seit: 29.04.2009
Beiträge: 1.327

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Danke das Du die Info hier an alle weitergibst.
Wahrscheinlich haben die meisten, wie ich, Zertifikate für 3 Jahre gekauft und werden erst später mit dem Problem konfrontiert.
11.03.2017 20:20 Eisenherz ist offline E-Mail an Eisenherz senden Beiträge von Eisenherz suchen Nehme Eisenherz in Deine Freundesliste auf
monderka
Mitglied


Dabei seit: 06.11.2006
Beiträge: 179
Herkunft: Ansbach

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Wir hatten letztes Jahr im August den ersten Zertifikatstausch der damals noch 5-jährigen Zertifikate. Ich habe es so gemacht das ich das ci- und das dc- Script einfach nochmal drüber habe laufen lassen. Musste dann aber den Cron-Job natürlich bereinigen und im servercert.pem von /var/qmail/control war die Zeile verschoben zwischen zwei Zertifikatsteilen, was zu einem fehler führt. Nach manueller anpassung hat es dann auch funktioniert.

Ich würde die Mail-Zertifikate bei uns nicht mit letsencrypt machen - zumindest aktuell - um einfach einen sauberen dauerbetrieb zu gewährleisten und nicht alle drei Monate anzufangen. Bei Websites ist das was anderes das ist ja eher unkritisch im Gegensatz zu mail.
13.03.2017 09:08 monderka ist offline E-Mail an monderka senden Homepage von monderka Beiträge von monderka suchen Nehme monderka in Deine Freundesliste auf
Baumstruktur | Brettstruktur
Gehe zu:
Neues Thema erstellen Antwort erstellen
pdadmin-forum » PD-Admin » Anwendung » Zertifikat erneuert - wie in Dovecot aktualisieren?

Impressum | Team | Hilfe

Forensoftware: Burning Board, entwickelt von WoltLab GmbH    |    Design entwickelt von You-Online.de