pdadmin-forum

pdadmin-forum » PD-Admin » Anwendung » Zertifikat erneuert - wie in Dovecot aktualisieren? » Hallo Gast [Anmelden|Registrieren]
Letzter Beitrag | Erster ungelesener Beitrag Druckvorschau | An Freund senden | Thema zu Favoriten hinzufügen
Neues Thema erstellen Antwort erstellen
Zum Ende der Seite springen Zertifikat erneuert - wie in Dovecot aktualisieren?
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »
tbc233
Moderator


Dabei seit: 23.09.2005
Beiträge: 615
Herkunft: Linz, Österreich

Zertifikat erneuert - wie in Dovecot aktualisieren? Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Ich habe das Zertifikat eines Servers erneuert, die /administrator Oberfläche und phpMyadmin etc. funktionieren alle korrekt und zeigen das korrekte, nicht abgelaufene Zerti an.
Also alle zertifikat Dateien für den Hostnamen des Servers unter /opt/pdadmin/sslcerts sind aktuell.

Leider verwendet aber Dovecot und qmail noch das alte Zertifikat. Wie kann ich Dovecot dazu bringen das aktualisierte Zertifikat zu verwenden? Für die Zukunft vielleicht gleich automatisiert?

__________________
Beste Grüße,
Michael
31.01.2017 08:51 tbc233 ist offline E-Mail an tbc233 senden Beiträge von tbc233 suchen Nehme tbc233 in Deine Freundesliste auf
tbc233
Moderator


Dabei seit: 23.09.2005
Beiträge: 615
Herkunft: Linz, Österreich

Themenstarter Thema begonnen von tbc233
Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Ich hab jetzt mal manuell die Zertifikatsdateien zusammenkopiert so wie es in dem dc-install Skript gemacht wird. Nun funktioniert es.

Trotzdem die Frage - ist hier keine automatisierte Aktualisierung der mailrelevanten Zertifikatsdateien vorgesehen?

__________________
Beste Grüße,
Michael
31.01.2017 09:42 tbc233 ist offline E-Mail an tbc233 senden Beiträge von tbc233 suchen Nehme tbc233 in Deine Freundesliste auf
Daniel Bradler
PD-Admin Dev

Dabei seit: 11.09.2004
Beiträge: 2.384

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Eine automatische Aktualisierung gibt es im Moment leider nicht. Wir werden es als Feature-Request aufnehmen.
03.02.2017 12:31 Daniel Bradler ist offline Beiträge von Daniel Bradler suchen Nehme Daniel Bradler in Deine Freundesliste auf
tbc233
Moderator


Dabei seit: 23.09.2005
Beiträge: 615
Herkunft: Linz, Österreich

Themenstarter Thema begonnen von tbc233
Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Ok Danke. Wichtiger Punkt denke ich, weil speziell bei Leuten die die dreimonatigen LetsEncrypt Zertifikate einsetzen wirds wohl ebenfalls bald erstmals unruhig werden. Speziell die Iphones meiner Kunden waren hier nach dem Ablauf des Zertis sehr unkooperativ. Auch noch tagelang als das Zerti schon wieder eneuert war.

__________________
Beste Grüße,
Michael
03.02.2017 12:33 tbc233 ist offline E-Mail an tbc233 senden Beiträge von tbc233 suchen Nehme tbc233 in Deine Freundesliste auf
tbc233
Moderator


Dabei seit: 23.09.2005
Beiträge: 615
Herkunft: Linz, Österreich

Themenstarter Thema begonnen von tbc233
Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Demnächst laufen die nächsten Zertifikate bei uns ab (https wird dank Skripte ja problemlos erneuert, imaps/pop3s ja leider nicht). Da ich mich schon vor hunderten Anrufern von iphone Usern fürchte, deren Telefone dann das Mailen verweigern, würde ich um eine kurze Doku bitten wie und an welche Stelle die Zertifikatsdateien zusammenkopiert werden müssen, damit auch für die Maildienste die Erneuerung der Zertifikate klappt.

__________________
Beste Grüße,
Michael
01.03.2017 05:36 tbc233 ist offline E-Mail an tbc233 senden Beiträge von tbc233 suchen Nehme tbc233 in Deine Freundesliste auf
tbc233
Moderator


Dabei seit: 23.09.2005
Beiträge: 615
Herkunft: Linz, Österreich

Themenstarter Thema begonnen von tbc233
Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Offenbar bin ich der Einzige den das Thema tangiert und bei dem die Telefone heiß laufen wenn mal wieder die mailrelevanten Zertifikate abgelaufen sind.

Wie auch immer, ich habe es nun mit einem Script gelöst, einmal wöchentlich via Cron - Aufruf scriptname.sh "vollständiger.hostname":
code:
1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
#!/bin/bash

H=$1

set -e
set -x

cat /opt/pdadmin/sslcerts/$H-key /opt/pdadmin/sslcerts/$H-cert /opt/pdadmin/sslcerts/$H-cacert > /var/qmail/control/servercert.pem
cat /opt/pdadmin/sslcerts/$H-key /opt/pdadmin/sslcerts/$H-cert > /usr/local/pd-admin2/share/imapd.pem
cat /opt/pdadmin/sslcerts/$H-cacert > /usr/local/pd-admin2/share/imapd.cacert
cat /opt/pdadmin/sslcerts/$H-cacert > /etc/ssl/cert.pem
svc -du /service/dovecot22/


__________________
Beste Grüße,
Michael
11.03.2017 17:17 tbc233 ist offline E-Mail an tbc233 senden Beiträge von tbc233 suchen Nehme tbc233 in Deine Freundesliste auf
Eisenherz
Moderator


Dabei seit: 29.04.2009
Beiträge: 1.342

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Danke das Du die Info hier an alle weitergibst.
Wahrscheinlich haben die meisten, wie ich, Zertifikate für 3 Jahre gekauft und werden erst später mit dem Problem konfrontiert.
11.03.2017 20:20 Eisenherz ist offline E-Mail an Eisenherz senden Beiträge von Eisenherz suchen Nehme Eisenherz in Deine Freundesliste auf
monderka
Mitglied


Dabei seit: 06.11.2006
Beiträge: 180
Herkunft: Ansbach

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Wir hatten letztes Jahr im August den ersten Zertifikatstausch der damals noch 5-jährigen Zertifikate. Ich habe es so gemacht das ich das ci- und das dc- Script einfach nochmal drüber habe laufen lassen. Musste dann aber den Cron-Job natürlich bereinigen und im servercert.pem von /var/qmail/control war die Zeile verschoben zwischen zwei Zertifikatsteilen, was zu einem fehler führt. Nach manueller anpassung hat es dann auch funktioniert.

Ich würde die Mail-Zertifikate bei uns nicht mit letsencrypt machen - zumindest aktuell - um einfach einen sauberen dauerbetrieb zu gewährleisten und nicht alle drei Monate anzufangen. Bei Websites ist das was anderes das ist ja eher unkritisch im Gegensatz zu mail.
13.03.2017 09:08 monderka ist offline E-Mail an monderka senden Homepage von monderka Beiträge von monderka suchen Nehme monderka in Deine Freundesliste auf
eddy_belu
Mitglied


Dabei seit: 13.12.2015
Beiträge: 10
Herkunft: NRW

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Schon interessant!
Nur wie übergebe ich nun genau den Domainnamen?
./script_name.sh meine.tld, oder "meine.tdl"
Bei mir ist egal was ich da eingebe, der Domainname wird nicht übernommen. Bei mehreren Domains ein wenig wirr. Oder ist es den Email-Client egal, was für ein Zertifikat er bekommt?
14.07.2017 17:00 eddy_belu ist offline E-Mail an eddy_belu senden Beiträge von eddy_belu suchen Nehme eddy_belu in Deine Freundesliste auf
tbc233
Moderator


Dabei seit: 23.09.2005
Beiträge: 615
Herkunft: Linz, Österreich

Themenstarter Thema begonnen von tbc233
Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Bei meinem Ansatz geht es darum das Zertifikat nach einer etwaigen Erneuerung oder Änderung auch für die Maildienste zu aktualiseren. Dieses bezieht sich auf den Hostnamen des Servers, von daher stellt sich die Frage mit "mehreren Domains" nicht.

Das Skript erwartet die Zertifikatsdateien für den Hostnamen des Servers in /opt/pdadmin/sslcerts/ und kopiert die Daten entsprechend für die Maildienste.

__________________
Beste Grüße,
Michael
14.07.2017 17:50 tbc233 ist offline E-Mail an tbc233 senden Beiträge von tbc233 suchen Nehme tbc233 in Deine Freundesliste auf
Baumstruktur | Brettstruktur
Gehe zu:
Neues Thema erstellen Antwort erstellen
pdadmin-forum » PD-Admin » Anwendung » Zertifikat erneuert - wie in Dovecot aktualisieren?

Impressum | Team | Hilfe

Forensoftware: Burning Board, entwickelt von WoltLab GmbH    |    Design entwickelt von You-Online.de