Apple Mail und Mailserver

Gerald Galster list+postfixbuch at gcore.biz
Mi Sep 18 21:20:23 CEST 2024 

> ja ich verstehe was Du meinst. Da ist der Fehler drin.
> 
> leicht.info hat ein Let´sEncrypt Cert das für smtp und pop/imap verwendet wird. Grund: Ich hatte das mal vor 25 Jahren so angelegt weil ich nur ein (teures) Cert für alles hatte. Habs aber nicht geändert da einige User alles so seit Jahren benutzen. OK ist nicht sauber.
> 
> für die postfix smtpd Seite habe ich ein wwl10.leicht.info Let´sEncrypt Cert.
> 
> Ihr schreibt das man mehrere Domains in ein Let´sEncrypt Cert packen kann? Wäre das eine Lösung? Wenn leicht.info und wwl10.leicht.info in Eingehend (smtpd) und Ausgehend (smtp) im Postfix angelegt wären?
> 
> Und wie würde das funktionieren? reicht es leicht.info.crt und wwl10.leicht.info.crt in ein File zu schreiben und das zu verwenden?
> Oder wird das von Let´sEncrypt extra erstellt?

Ich würde ein Multidomain-Zertifikat verwenden, da kann man ohne Probleme mehrere Domains abdecken.

Ein Beispiel für certbot wäre:
/usr/bin/certbot certonly --reuse-key --webroot -w /var/www/html/certbot --cert-name leicht.info -d leicht.info -d wwl10.leicht.info

  --webroot nutzt ein vorhandenes Verzeichnis des Webservers
   -w       sagt wo dieses zu finden ist
   -d       für jede Domain, die mit dem Zertifikat geschützt werden soll

Cerbot legt im Webroot temporär Dateien ab, die LetsEncrypt via HTTP(S) abruft und so überprüft ob ein Zertifikat ausgestellt werden darf.
Wichtig ist: es wird jede angegebene Domain überprüft. Daher sollten alle Anfragen im gleichen Verzeichnis landen.

Für Apache kann man dazu einen Alias via /etc/httpd/conf.d/certbot.conf anlegen (einfach die Datei erstellen):

Alias /.well-known/acme-challenge/ "/var/www/html/certbot/.well-known/acme-challenge/"


Danach den Pfad anlegen (mkdir -p /var/www/html/certbot/.well-known/acme-challenge) und den Webserver neu starten.
So gehen die /.well-known/acme-challenge/ Anfragen für jeden VirtualHost nach /var/www/html/certbot/...

Wurde das Zertifikat erstellt, kannst Du es so überprüfen:

openssl x509 -text < /etc/letsencrypt/live/leicht.info/cert.pem

In der Ausgabe suchst Du nach "X509v3 Subject Alternative Name" und die Zeile darunter zeigt via DNS:<domain> alle Domainnamen an.

Bei postfix, dovecot und httpd verwendet man nun immer das selbe Zertifikat, da es alle Domainnamen enthält.
Also z.B. /etc/letsencrypt/live/leicht.info/fullchain.pem für das Zertifikat und /etc/letsencrypt/live/leicht.info/privkey.pem für den privaten Schlüssel.

Das Beispiel musst Du für Dich anpassen. Evtl. heißt der Webserver bei Dir apache2 statt httpd und vielleicht verwendest Du ein anderes Tool statt cerbot, ...

Solltest Du auf dem selben Server auch Webhosting für verschiedene Kunden/Domains anbieten, dann erstellst Du für diese weiterhin ein eigenes Zertifikat.
Nur die ganzen Systemdienste (postfix, dovecot, der httpd selbst) würde ich in einem Multidomain-Zertifikat bündeln.

Viele Grüße
Gerald

Mehr Informationen über die Mailingliste Postfixbuch-users