tomtom89
Goto Top

Linux Mail Server - SSL Zertifikat - wird falsch abgefragt

Hallo zusammen,

ich komme einfach nicht weiter und es ist schwierig im Internet eine Lösung zu finden.

Deshalb schreibe ich hier.


Zustand: Ein Linux Mailserver welcher für die Web-domain ein SSL Zertifikat hat.

Wenn ich über das Internet auf die Mail-Weboberfläche gehe, wird das Zertifikat erkannt und ich bin im HTTPS Bereich.

Alles toll alles schön.

Wenn ich nun auf einem Smartphone den Mailserver einrichte, sagt er mir immer, das Zertifikat ist nicht gültig.
Wenn ich mir das Zertifikat anschaue, ist es ein anderes als eigentlich ausgestellt. Es ist eines was lokal auf dem System genutzt wird. Wenn ich dieses dann auf dem System einfach gegen das richtige, welches gültig ist, austausche, geht der Mailserver nicht mehr sauber. Die Anmeldung als Benutzer geht dann nicht mehr.

Ich suche die Einstellung, welches Zertifikat er für die Mailabfrage über Handy bzw. extern Mailclients anbieten soll.

In welcher Config geht das? Beim ApacheServer wäre doch falsch, ist doch für die Weboberfläche.

Beim der Postfix.conf ist als TLS Cert auch der Pfad zum richtigen Zertifikat hinterlegt.

Ich find die Lösung nicht.

Wer kennt sich aus und lacht sicher gerade etwas, weil es sicher einfacher ist als ich denke.

Grüße und ein riesen Dank.

Content-ID: 668342

Url: https://administrator.de/forum/linux-mail-server-ssl-zertifikat-wird-falsch-abgefragt-668342.html

Ausgedruckt am: 21.12.2024 um 12:12 Uhr

SlainteMhath
SlainteMhath 24.09.2024 um 12:45:01 Uhr
Goto Top
Moin,

So ein "Mailserver" besteht aus mehreren Teilen

postfix -> Versand/Empfang per SMTP
apache und andere -> WebMail
ein drittes Paket -> IMAP und evtl. POP

Wenn du "auf einem Smartphone den Mailserver einrichte, " dann betrifft das das Programm das IMAP bereitstellt.(evtl. "Dovecot"?) Dort musst du das Zert auch noch hinterlegen.

lg,
Slainte
TomTom89
TomTom89 24.09.2024 um 13:05:30 Uhr
Goto Top
Hallo zurück,

das ist schon ein super hilfreicher Gedankenanstoß.

Es läuft Dovecot als Dienst dafür.

Unter /etc/ssl/certs liegt ein local.cert und mein domain.cert
Aber WO kann ich jetzt sagen, wenn die Abfrage kommt, nehme doch bitte das domain.cert und nicht das local.cert
Die Inhalte in local.cert vom domain.cert legen bringt leider kein Erfolg.

Was mach ich falsch?
SlainteMhath
SlainteMhath 24.09.2024 um 13:20:22 Uhr
Goto Top
TomTom89
TomTom89 24.09.2024 um 13:50:40 Uhr
Goto Top
Hab ich.

Kann ich denn mein Pfad für das internet-domain Zertifikat einfach eine Zeile dazu setzen?

ssl_alt_cert = </path/to/alternative/cert.pem
ssl_alt_key = </path/to/alternative/key.pem
ich habe folgenden Eintrag in einer Config gefunden:

/etc/dovecot/conf.d/10-ssl.conf

# PEM encoded X.509 SSL/TLS certificate and private key. They're opened before 
# dropping root privileges, so keep the key file unreadable by anyone but
# root. Included doc/mkcert.sh can be used to easily generate self-signed
# certificate, just make sure to update the domains in dovecot-openssl.cnf
ssl_cert = </etc/pki/tls/certs/dielokaledomain.local.crt
ssl_key = </etc/pki/tls/private/dielokaledomain.local.key

kann ich mein web domain Zertifikat einfach als alternative setzen?
Dani
Dani 24.09.2024 um 18:02:30 Uhr
Goto Top
Moin,
Kann ich denn mein Pfad für das internet-domain Zertifikat einfach eine Zeile dazu setzen?
warum ergänzen und nicht den Pfad ersetzen?!


Gruß,
Dani
DivideByZero
DivideByZero 24.09.2024 um 23:57:14 Uhr
Goto Top
Moin,
/etc/dovecot/conf.d/10-ssl.conf

# PEM encoded X.509 SSL/TLS certificate and private key. They're opened before 
# dropping root privileges, so keep the key file unreadable by anyone but
# root. Included doc/mkcert.sh can be used to easily generate self-signed
# certificate, just make sure to update the domains in dovecot-openssl.cnf
ssl_cert = </etc/pki/tls/certs/dielokaledomain.local.crt
ssl_key = </etc/pki/tls/private/dielokaledomain.local.key

kann ich mein web domain Zertifikat einfach als alternative setzen?

Keine Alternative, einfach nur das offizielle SSL-Zertifikat einbinden und keine selbstgenerierten, dann sind solche Fehlermeldungen ja gar nicht mehr möglich.

Gruß

DivideByZero
TomTom89
TomTom89 25.09.2024 um 07:30:47 Uhr
Goto Top
Also ist dort die richtige Stelle und es sollte dann auch weiterhin alles laufen?
TomTom89
TomTom89 25.09.2024 um 07:32:26 Uhr
Goto Top
Hab halt die Sorge, dass das System wieder nicht mehr läuft.
SlainteMhath
SlainteMhath 25.09.2024 um 07:47:31 Uhr
Goto Top
Konfiguriere das korrekt Zert und sorge dann dafür. dass der/die Services intern wie extern über den gleichen DNS Namen aufgerufen werden - ferdsch.
TomTom89
TomTom89 25.09.2024 aktualisiert um 08:28:44 Uhr
Goto Top
Ich wurde bei dem Thema etwas ins kalte Wasser geworfen.

Wirkliche Dokus finde ich nicht. face-sad
Aber es sieht erstmal gut aus. Wir bekommen wieder Mails aufs Handy und das richtige Zertifikat wird angezeigt.
Jetzt muss ich nur schauen wie es für die ausgehenden Mails ist. Wo ich das noch anpassen muss

RIESEN DANK erstmal an alle Beteiligten.
Der Mailserver läuft noch und alle können arbeiten. Nur Versand muss ich noch hinbekommen.

Update:

Das Zertifikat welches zur Domain passt.

also mail.ABC.de ist die Domain. Das Zertifikat haben wir auch vom Domain Anbieter und wird auch über die Weboberfläche des Mailserver als gültig anerkannt und alles geht.

Im Zertifikat steht auch mail.ABC.de

Aber am Smartphone sagt er mir: Zertifikat ungültig für Domain: mail.ABC.de

Aber wenn ich mir das Zertifikat anzeigen lassen steht dort: ausgestellt für Domain: mail.ABC.de gültig bis. 15.11.2024.
SlainteMhath
SlainteMhath 25.09.2024 um 09:32:20 Uhr
Goto Top
Das Smartphone gibt sicherlich einen genaueren Grund an, warum das Zertifikat nicht passt... fehlt evtl. ein Root oder ein Intermediate Zertifikat?

Hast du schonmal von einem PC aus mit einem IMAP Client auf die Mail zuzugreifen? Ggfs. gibt's dort dann mehr Details in der Fehlermeldung,.
TomTom89
TomTom89 25.09.2024 um 10:43:40 Uhr
Goto Top
Warum auch immer, jetzt geht es. Sicher musste noch ein anderer Dienst als Postfix und Dovecot neu gestartet werden.

Danke euch sehr! Der Tipp mit Dovecot war Goldwert!!!
aqui
aqui 25.09.2024 aktualisiert um 12:26:00 Uhr
Goto Top
Vielleicht hilft das noch?! Dort ist alles zu Postfix, Dovecot und Roundcube erklärt.
https://www.heise.de/select/ct/archiv/2013/17/seite-164

Wie kann ich einen Beitrag als gelöst markieren?