13
Linux Mail Server - SSL Zertifikat - wird falsch abgefragt
Hallo zusammen,
ich komme einfach nicht weiter und es ist schwierig im Internet eine Lösung zu finden.
Deshalb schreibe ich hier.
Zustand: Ein Linux Mailserver welcher für die Web-domain ein SSL Zertifikat hat.
Wenn ich über das Internet auf die Mail-Weboberfläche gehe, wird das Zertifikat erkannt und ich bin im HTTPS Bereich.
Alles toll alles schön.
Wenn ich nun auf einem Smartphone den Mailserver einrichte, sagt er mir immer, das Zertifikat ist nicht gültig.
Wenn ich mir das Zertifikat anschaue, ist es ein anderes als eigentlich ausgestellt. Es ist eines was lokal auf dem System genutzt wird. Wenn ich dieses dann auf dem System einfach gegen das richtige, welches gültig ist, austausche, geht der Mailserver nicht mehr sauber. Die Anmeldung als Benutzer geht dann nicht mehr.
Ich suche die Einstellung, welches Zertifikat er für die Mailabfrage über Handy bzw. extern Mailclients anbieten soll.
In welcher Config geht das? Beim ApacheServer wäre doch falsch, ist doch für die Weboberfläche.
Beim der Postfix.conf ist als TLS Cert auch der Pfad zum richtigen Zertifikat hinterlegt.
Ich find die Lösung nicht.
Wer kennt sich aus und lacht sicher gerade etwas, weil es sicher einfacher ist als ich denke.
Grüße und ein riesen Dank.
ich komme einfach nicht weiter und es ist schwierig im Internet eine Lösung zu finden.
Deshalb schreibe ich hier.
Zustand: Ein Linux Mailserver welcher für die Web-domain ein SSL Zertifikat hat.
Wenn ich über das Internet auf die Mail-Weboberfläche gehe, wird das Zertifikat erkannt und ich bin im HTTPS Bereich.
Alles toll alles schön.
Wenn ich nun auf einem Smartphone den Mailserver einrichte, sagt er mir immer, das Zertifikat ist nicht gültig.
Wenn ich mir das Zertifikat anschaue, ist es ein anderes als eigentlich ausgestellt. Es ist eines was lokal auf dem System genutzt wird. Wenn ich dieses dann auf dem System einfach gegen das richtige, welches gültig ist, austausche, geht der Mailserver nicht mehr sauber. Die Anmeldung als Benutzer geht dann nicht mehr.
Ich suche die Einstellung, welches Zertifikat er für die Mailabfrage über Handy bzw. extern Mailclients anbieten soll.
In welcher Config geht das? Beim ApacheServer wäre doch falsch, ist doch für die Weboberfläche.
Beim der Postfix.conf ist als TLS Cert auch der Pfad zum richtigen Zertifikat hinterlegt.
Ich find die Lösung nicht.
Wer kennt sich aus und lacht sicher gerade etwas, weil es sicher einfacher ist als ich denke.
Grüße und ein riesen Dank.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 668342
Url: https://administrator.de/contentid/668342
Ausgedruckt am: 27.09.2024 um 03:09 Uhr
13 Kommentare
Neuester Kommentar
Moin,
So ein "Mailserver" besteht aus mehreren Teilen
postfix -> Versand/Empfang per SMTP
apache und andere -> WebMail
ein drittes Paket -> IMAP und evtl. POP
Wenn du "auf einem Smartphone den Mailserver einrichte, " dann betrifft das das Programm das IMAP bereitstellt.(evtl. "Dovecot"?) Dort musst du das Zert auch noch hinterlegen.
lg,
Slainte
So ein "Mailserver" besteht aus mehreren Teilen
postfix -> Versand/Empfang per SMTP
apache und andere -> WebMail
ein drittes Paket -> IMAP und evtl. POP
Wenn du "auf einem Smartphone den Mailserver einrichte, " dann betrifft das das Programm das IMAP bereitstellt.(evtl. "Dovecot"?) Dort musst du das Zert auch noch hinterlegen.
lg,
Slainte
1
Hallo zurück,
das ist schon ein super hilfreicher Gedankenanstoß.
Es läuft Dovecot als Dienst dafür.
Unter /etc/ssl/certs liegt ein local.cert und mein domain.cert
Aber WO kann ich jetzt sagen, wenn die Abfrage kommt, nehme doch bitte das domain.cert und nicht das local.cert
Die Inhalte in local.cert vom domain.cert legen bringt leider kein Erfolg.
Was mach ich falsch?
das ist schon ein super hilfreicher Gedankenanstoß.
Es läuft Dovecot als Dienst dafür.
Unter /etc/ssl/certs liegt ein local.cert und mein domain.cert
Aber WO kann ich jetzt sagen, wenn die Abfrage kommt, nehme doch bitte das domain.cert und nicht das local.cert
Die Inhalte in local.cert vom domain.cert legen bringt leider kein Erfolg.
Was mach ich falsch?
Hm, mal ins Dovecot Manual geguckt? Hier z.b.: https://doc.dovecot.org/2.3/configuration_manual/dovecot_ssl_configurati ...
Hab ich.
Kann ich denn mein Pfad für das internet-domain Zertifikat einfach eine Zeile dazu setzen?
ich habe folgenden Eintrag in einer Config gefunden:
kann ich mein web domain Zertifikat einfach als alternative setzen?
Kann ich denn mein Pfad für das internet-domain Zertifikat einfach eine Zeile dazu setzen?
ssl_alt_cert = </path/to/alternative/cert.pem
ssl_alt_key = </path/to/alternative/key.pem/etc/dovecot/conf.d/10-ssl.conf
# PEM encoded X.509 SSL/TLS certificate and private key. They're opened before
# dropping root privileges, so keep the key file unreadable by anyone but
# root. Included doc/mkcert.sh can be used to easily generate self-signed
# certificate, just make sure to update the domains in dovecot-openssl.cnf
ssl_cert = </etc/pki/tls/certs/dielokaledomain.local.crt
ssl_key = </etc/pki/tls/private/dielokaledomain.local.keykann ich mein web domain Zertifikat einfach als alternative setzen?
Moin,
Gruß,
Dani
Kann ich denn mein Pfad für das internet-domain Zertifikat einfach eine Zeile dazu setzen?
warum ergänzen und nicht den Pfad ersetzen?!Gruß,
Dani
Moin,
kann ich mein web domain Zertifikat einfach als alternative setzen?
Keine Alternative, einfach nur das offizielle SSL-Zertifikat einbinden und keine selbstgenerierten, dann sind solche Fehlermeldungen ja gar nicht mehr möglich.
Gruß
DivideByZero
/etc/dovecot/conf.d/10-ssl.conf
# PEM encoded X.509 SSL/TLS certificate and private key. They're opened before
# dropping root privileges, so keep the key file unreadable by anyone but
# root. Included doc/mkcert.sh can be used to easily generate self-signed
# certificate, just make sure to update the domains in dovecot-openssl.cnf
ssl_cert = </etc/pki/tls/certs/dielokaledomain.local.crt
ssl_key = </etc/pki/tls/private/dielokaledomain.local.keykann ich mein web domain Zertifikat einfach als alternative setzen?
Keine Alternative, einfach nur das offizielle SSL-Zertifikat einbinden und keine selbstgenerierten, dann sind solche Fehlermeldungen ja gar nicht mehr möglich.
Gruß
DivideByZero
Also ist dort die richtige Stelle und es sollte dann auch weiterhin alles laufen?
Hab halt die Sorge, dass das System wieder nicht mehr läuft.
Konfiguriere das korrekt Zert und sorge dann dafür. dass der/die Services intern wie extern über den gleichen DNS Namen aufgerufen werden - ferdsch.
1
Ich wurde bei dem Thema etwas ins kalte Wasser geworfen.
Wirkliche Dokus finde ich nicht.
Aber es sieht erstmal gut aus. Wir bekommen wieder Mails aufs Handy und das richtige Zertifikat wird angezeigt.
Jetzt muss ich nur schauen wie es für die ausgehenden Mails ist. Wo ich das noch anpassen muss
RIESEN DANK erstmal an alle Beteiligten.
Der Mailserver läuft noch und alle können arbeiten. Nur Versand muss ich noch hinbekommen.
Update:
Das Zertifikat welches zur Domain passt.
also mail.ABC.de ist die Domain. Das Zertifikat haben wir auch vom Domain Anbieter und wird auch über die Weboberfläche des Mailserver als gültig anerkannt und alles geht.
Im Zertifikat steht auch mail.ABC.de
Aber am Smartphone sagt er mir: Zertifikat ungültig für Domain: mail.ABC.de
Aber wenn ich mir das Zertifikat anzeigen lassen steht dort: ausgestellt für Domain: mail.ABC.de gültig bis. 15.11.2024.
Wirkliche Dokus finde ich nicht.
Aber es sieht erstmal gut aus. Wir bekommen wieder Mails aufs Handy und das richtige Zertifikat wird angezeigt.
Jetzt muss ich nur schauen wie es für die ausgehenden Mails ist. Wo ich das noch anpassen muss
RIESEN DANK erstmal an alle Beteiligten.
Der Mailserver läuft noch und alle können arbeiten. Nur Versand muss ich noch hinbekommen.
Update:
Das Zertifikat welches zur Domain passt.
also mail.ABC.de ist die Domain. Das Zertifikat haben wir auch vom Domain Anbieter und wird auch über die Weboberfläche des Mailserver als gültig anerkannt und alles geht.
Im Zertifikat steht auch mail.ABC.de
Aber am Smartphone sagt er mir: Zertifikat ungültig für Domain: mail.ABC.de
Aber wenn ich mir das Zertifikat anzeigen lassen steht dort: ausgestellt für Domain: mail.ABC.de gültig bis. 15.11.2024.
Das Smartphone gibt sicherlich einen genaueren Grund an, warum das Zertifikat nicht passt... fehlt evtl. ein Root oder ein Intermediate Zertifikat?
Hast du schonmal von einem PC aus mit einem IMAP Client auf die Mail zuzugreifen? Ggfs. gibt's dort dann mehr Details in der Fehlermeldung,.
Hast du schonmal von einem PC aus mit einem IMAP Client auf die Mail zuzugreifen? Ggfs. gibt's dort dann mehr Details in der Fehlermeldung,.
Warum auch immer, jetzt geht es. Sicher musste noch ein anderer Dienst als Postfix und Dovecot neu gestartet werden.
Danke euch sehr! Der Tipp mit Dovecot war Goldwert!!!
Danke euch sehr! Der Tipp mit Dovecot war Goldwert!!!
Vielleicht hilft das noch?! Dort ist alles zu Postfix, Dovecot und Roundcube erklärt.
https://www.heise.de/select/ct/archiv/2013/17/seite-164
Wie kann ich einen Beitrag als gelöst markieren?
https://www.heise.de/select/ct/archiv/2013/17/seite-164
Wie kann ich einen Beitrag als gelöst markieren?
