<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=iso-8859-1"><meta name=Generator content="Microsoft Word 14 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
{font-family:Wingdings;
panose-1:5 0 0 0 0 0 0 0 0 0;}
@font-face
{font-family:Wingdings;
panose-1:5 0 0 0 0 0 0 0 0 0;}
@font-face
{font-family:Calibri;
panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{margin:0cm;
margin-bottom:.0001pt;
font-size:11.0pt;
font-family:"Calibri","sans-serif";
mso-fareast-language:EN-US;}
a:link, span.MsoHyperlink
{mso-style-priority:99;
color:blue;
text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
{mso-style-priority:99;
color:purple;
text-decoration:underline;}
span.E-MailFormatvorlage17
{mso-style-type:personal-compose;
font-family:"Calibri","sans-serif";
color:windowtext;}
.MsoChpDefault
{mso-style-type:export-only;
font-family:"Calibri","sans-serif";
mso-fareast-language:EN-US;}
@page WordSection1
{size:612.0pt 792.0pt;
margin:70.85pt 70.85pt 2.0cm 70.85pt;}
div.WordSection1
{page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=DE link=blue vlink=purple><div class=WordSection1><p class=MsoNormal>Hallo Liste,<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>das Thema stand bestimmt schon zur Diskussion. Ich möchte es trotzdem nochmal aufwerfen.<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Mein Mailserver wird mit Postfix /Courier betrieben. Bei einer SSL-Verbindung wird ein Zertifikat präsentiert, welches von einer selbstsignierten CA stammt. Aus diesem Grunde wird seit über 9 Jahren das Root-Zertifikat der CA bei jedem Client installiert. Letzteres läuft leider nächstes Jahr aus. Dumm gelaufen <span style='font-family:Wingdings'>L</span><o:p></o:p></p><p class=MsoNormal>Der Aufwand, auf hunderten von Clients in den nächsten Monaten ein neues Zertifikat zu installieren ist ziemlich hoch und sollte vermieden werden. <o:p></o:p></p><p class=MsoNormal>Ich reduziere hier erstmal mein Problem auf den POP3-Server (Courier):<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Als POP3-Server ist bei ALLEN Clients pop.domain.tld eingetragen. Allerdings besitze ich für *.domain-NEU.tld ein gekauftes Wildcard-Zertifikat. Das hat den Charme, dass nicht immer ein Root-Zertifikat installiert werden muss. Dieses würde ich gern in Zukunft ausschließlich nutzen.<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Ich trage also einen A-Record für pop.domain-NEU.tld ein und lösche den A-Record von pop.domain.tld. Statt dessen erzeuge ich einen CNAME-Record der Art: pop.domain.tls=pop.domain-NEU.tld. Doch leider musste ich feststellen, dass der CNAME-Record nicht bedeutet, den kanonischen Namen aus CNAME zu benutzen, sondern lediglich dessen IP-Adresse. In der Folge bekommen alle Benutzer, die als POP3-Server pop.domain.tld eingetragen haben, für exakt diese Domain das Zertifikat von pop.domain-NEU.tld präsentiert. Das führt dann natürlich zu Fehlermeldungen (Outlook: Falscher Zielprizipalname).<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Ok, man könnte Courier dazu überreden, mit SNI zu arbeiten (domainabhängige Zertifikate), wenn es gegen GNU-TLS compiliert wird, statt gegen OpenSSL. Man könnte auch auf Dovecot wechseln, wo SNI wohl nativ unterstützt wird.<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Doch danach habe ich ja immer noch den SMTP-Server Postfix. Dieser unterstützt kein SNI und wird es auch wohl nicht tun. Da bleibt dann wohl nur die Konfiguration mit einer zusätzliche IP-Adresse auf ethX:y, die ich aber leider NICHT habe. <o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Office 365 arbeitet da mit „autodiscover“. Das wirkt aber auch wohl nur bei der Ersteinrichtung?<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Was ich brauche ist ein Apache mod_rewrite für DNS <span style='font-family:Wingdings'>J</span><o:p></o:p></p><p class=MsoNormal>Geht da vielleicht was mit eine SRV-Record?<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Thats my misery.<o:p></o:p></p><p class=MsoNormal>Hat jemand eine kluge Idee, wie man das elegant lösen könnte?<o:p></o:p></p><p class=MsoNormal>Mir fällt da im Moment nur noch Let‘s Encrypt ein.<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Vielen Dank <o:p></o:p></p><p class=MsoNormal>Harald<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p></div></body></html>