AW: letsencrypt postfix
Harald Witt
harald.witt at dpfa.de
Mo Aug 14 17:46:02 CEST 2017
Hallo Günther,
vielleicht liegt es ja nur am Neustart des Service (siehe --post-hook
unten)?
Oder dein Postfix braucht noch eine Datei?
Ich hatte da mal ein Problem dem guten alten Courier. Der POP3-Server wollte
unbedingt den privaten Schlüssel und die Fullchain in einer Datei haben,
wass natürlich ein Risiko ist ;-)
Habe dann in der /etc/cron.d/certbot nach "-q renew" die Zeile erweitert:
--post-hook /var/xyz/restart_mailservices.sh
Und da steht drin:
#!/bin/sh
cd /etc/letsencrypt/live/my.domain.de/
cat privkey.pem fullchain.pem >/etc/courier/certbot-courier.pem
systemctl restart courier-pop-ssl.service
systemctl restart postfix.service
Und schon funktionierte das hervorragend :-)
Muss noch dazu schreiben, dass ich Debian 8.9 habe und nicht das
Postfix-Plugin vom certbot benutze. Die Aktualisierung läuft bei mir über
eine SSL-Seite des Apache: pop.my.domain.de-le-ssl.conf bzw.
mail.my.domain.de-le-ssl.conf
HTH
Harald
-----Ursprüngliche Nachricht-----
Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de]
Im Auftrag von Günther J. Niederwimmer
Gesendet: Montag, 14. August 2017 16:46
An: postfixbuch-users at listi.jpberlin.de
Betreff: letsencrypt postfix
Hallo Liste,
Ich habe ein Problem mit meinen Postfixen ;-)
Ich wollte meinen postfix auf ein Letsencrypt Zertifikat umstellen und stehe
nun anscheinend im Wald.... ;-)
Bevor ich umgestellt hatte, hat alles funktioniert ?
welches File braucht postfix von letsencrypt "cert.pem, chain.pem,
fullchain.pem"
Aber eigentlich habe ich alle durchprobiert
Es scheint irgend etwas mit den Zertifikaten zu sein ?
1: Könnt Ihr mir sagen was postfix voraussetzt, bei den Rechten. Ich finde
wieder mal nichts darüber im Inet.
2: Jetzt nach der Umstellung bekomme ich solche Mails.
Transcript of session follows.
Out: 220 mx01.4gjn.com ESMTP Postfix
In: EHLO www.example.com
Out: 250-mx01.example.com
Out: 250-PIPELINING
Out: 250-SIZE 20480000
Out: 250-VRFY
Out: 250-ETRN
Out: 250-STARTTLS
Out: 250-ENHANCEDSTATUSCODES
Out: 250-8BITMIME
Out: 250 DSN
In: STARTTLS
Out: 454 4.7.0 TLS not available due to local problem
In: MAIL FROM:<gjn+www at example.com> SIZE=419
Out: 250 2.1.0 Ok
In: RCPT TO:<gjn+www at example.com> ORCPT=rfc822;root at 4gjn.com
Out: 450 4.7.1 Session encryption is required
In: DATA
Out: 554 5.5.1 Error: no valid recipients
In: RSET
Out: 250 2.0.0 Ok
In: QUIT
Out: 221 2.0.0 Bye
der Client von dem die Mail kommt meint auch da fehlt das Zertifikat!!
Aug 14 16:12:39 bbs postfix/smtp[4002]: warning: TLS library problem:
4002:error:20074002:BIO routines:FILE_CTRL:system lib:bss_file.c:400:
Aug 14 16:12:39 bbs postfix/smtp[4002]: warning: TLS library problem:
4002:error:140DC002:SSL routines:SSL_CTX_use_certificate_chain_file:system
lib:ssl_rsa.c:722:
Aug 14 16:12:39 bbs postfix/smtp[4003]: warning: cannot get RSA certificate
from file /etc/letsencrypt/live/www.4gjn.com/cert.pem: disabling TLS support
Aug 14 16:12:39 bbs postfix/smtp[4003]: warning: TLS library problem:
4003:error:02001002:system library:fopen:No such file or
directory:bss_file.c:
398:fopen('/etc/letsencrypt/live/www.4gjn.com/cert.pem','r'):
Aug 14 16:12:39 bbs postfix/smtp[4003]: warning: TLS library problem:
4003:error:20074002:BIO routines:FILE_CTRL:system lib:bss_file.c:400:
Aug 14 16:12:39 bbs postfix/smtp[4003]: warning: TLS library problem:
4003:error:140DC002:SSL routines:SSL_CTX_use
Aug 14 16:12:39 bbs postfix/smtp[4003]: 58BB641676BB: host
mx01.example.com[xxx.xxx.xxx.xxx] said: 450 4.7.1 Session encryption is
required (in reply to RCPT TO command)
Wo ist da der Wurm auf einmal drin ?
### TLS ######
#
##
smtpd_tls_auth_only = yes
smtpd_use_tls = yes
smtpd_tls_loglevel = 1
smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3 smtpd_tls_protocols =
!SSLv2,!SSLv3 smtpd_tls_received_header = yes #smtpd_tls_CApath =
/etc/pki/certs #smtpd_tls_CAfile = /etc/pki/tls/certs.pem
#smtpd_tls_cert_file = /etc/pki/tls/postfix/certs/post_cert.pem
smtpd_tls_cert_file = /etc/letsencrypt/live/www.example.com/fullchain.pem
#smtpd_tls_key_file = /etc/pki/tls/postfix/private/post_key.pem
smtpd_tls_key_file = /etc/pki/tls/private/example.com.key
smtpd_tls_security_level = may
#smtpd_tls_dh512_param_file = /etc/pki/tls/private/dh_512.pem
#smtpd_tls_dh1024_param_file = /etc/pki/tls/private/dh_2048.pem
#smtpd_tls_eecdh_grade = ultra
# TLS outgoing
smtp_tls_security_level = may
smtp_tls_loglevel = 1
#smtp_tls_cert_file = /etc/letsencrypt/live/www.example.com/fullchain.pem
#smtp_tls_key_file = /etc/pki/tls/private/example.com.key
Übrigens der normale Mail Empfang funktioniert ??
--
mit freundlichen Grüssen / best regards,
Günther J. Niederwimmer
Mehr Informationen über die Mailingliste Postfixbuch-users