Server Support Forum


Zurück   Server Support Forum > >


Antwort
 
Themen-Optionen Thema bewerten
  #1  
Alt 07.07.2015, 16:55
Depia Depia ist offline
Registered User
 
Registriert seit: 09.2013
Beiträge: 12
Web- und Mailserver getrennt. SSL-Zertifkat für Domain mail.* Postfix Dovecot

Hallo,

ich habe:
- Webserver (Debian 8, 64bit, Nginx, PHP, MySQL, ohne Admintool)
- Mailserver (Debian 8, 64bit, Postfix, Dovecot, ohne Admintool)

Der Webserver ist für eine bestimmte Domain, die darüber läuft SSL-Verschlüsselt (Standard-Zertifikat von GoDaddy).

Nun möchte ich den Mailserver für die selbe Domain ebenfalls per SSL-Zertifikat verschlüsseln.

Ich nenne die Domain mal "www.testdomain.com" und "mail.testdomain.com"

Das Zertifikat ist für www.testdomain.com ausgestellt.

Brauche ich nun für "mail.testdomain.com" ein weiteres Zertifikat?
Wenn ja, wie binde ich dieses in Postfix und Dovecot NUR für die eine Domain ein?
(Es laufen noch andere Domains über den Webserver bzw. weitere Postfächer auf den Mailserver die nicht verschlüsselt sein müssen)

Nochmal zum Verständnis: Es geht mir hier nur um den Mailserver.
Der Webserver läuft so wie es soll.

Ich würde mich sehr über Tipps oder Hilfestellungen freuen.
Mit Zitat antworten

  #2  
Alt 07.07.2015, 17:17
Benutzerbild von danton
danton danton ist offline
Registered User
 
Registriert seit: 04.2009
Ort: Ennigerloh
Alter: 44
Beiträge: 2.480
Wenn du für deine Domain kein Wildcard-Zertifikat hast, brauchst du ein neues. Wenn du auf beiden Servern das gleiche Zertifikat nutzen willst, mußt du auch auf beiden Servern den gleichen privaten Schlüssel verwenden.
Postfix und Dovecot unterscheiden beim Zugriff per SMTP/IMAP/POP3 nicht zwischen verschiedenen Domains, d.h. theoretisch funktioniert es mit jeder Domain, die auf die IP des Mail-Servers zeigt. Bei Verschlüsselung machen sich die "falschen" Domains nur dadurch bemerkbar, dass das Zertifikat nicht zur Domains passt.
Erstell dir für mail.example1.com ein Zertifikat und verwende im Client nur mail.example.com. Tragen diesen auch alx MX für alle Domains ein, die dein Mailserver verwaltet (also auch für example2.com, example3.com usw. immer mail.example1.com) dann gibt es auch keine Probleme. Und da ich da erst kürzlich war zu geschrieben hatte, verweise ich einfach mal auf meinen anderen Beitrag.
__________________
Event-List - PHP/MySQL-Veranstaltungskalender für die eigene Homepage
Mit Zitat antworten
  #3  
Alt 07.07.2015, 17:18
Benutzerbild von elias5000
elias5000 elias5000 ist offline
Pricipal Systems Engineer
 
Registriert seit: 08.2006
Ort: Berlin
Alter: 38
Beiträge: 2.652
Zitat:
Zitat von Depia Beitrag anzeigen
Brauche ich nun für "mail.testdomain.com" ein weiteres Zertifikat?
Ja.

Zitat:
Wenn ja, wie binde ich dieses in Postfix und Dovecot NUR für die eine Domain ein?
Das geht nur, wenn du diese Domain auf dem Mailserver über eine separate IP laufen lässt.
Bei Mail ist es aber am praktischsten, wenn man sich auf einen Hostnamen für den MX festlegt, für diesen dann ein Zertifikat besorgt und für alle Domains, für die dieser zuständig ist, diesen Hostname einträgt. Selbiges gibt für Client-Zugriffe. Einfach alle auf den selben Namen konfigurieren.

Da SMTPS, IMAPS u.s.w. kein SNI unterstützen (Host-Header und SNI sind etwas spezielle Features des HTTP(S)-Protokoll) ist es bei diesen nicht möglich mehrere Zertifikate auf der selben IP/Port-Kombination zu nutzen.
__________________
"Computers in the future may weigh no more than 1.5 tons." (Popular Mechanics, 1949)
Mit Zitat antworten
  #4  
Alt 07.07.2015, 17:53
Benutzerbild von Joe User
Joe User Joe User ist offline
Registered User
 
Registriert seit: 11.2008
Ort: Hamburg
Alter: 39
Beiträge: 3.920
Zitat:
Zitat von Depia Beitrag anzeigen
Brauche ich nun für "mail.testdomain.com" ein weiteres Zertifikat?
Ja.

Zitat:
Zitat von Depia Beitrag anzeigen
Wenn ja, wie binde ich dieses in Postfix und Dovecot NUR für die eine Domain ein?
Exakt so, wie jedes andere Zertifikat auch und wie es in der jeweiligen Doku beschrieben ist.
Bewährte Konfigurationsbeispiele findest Du in https://www.rootservice.org/howtos/f...ng_system.html

Zitat:
Zitat von Depia Beitrag anzeigen
(Es laufen noch andere Domains über den Webserver bzw. weitere Postfächer auf den Mailserver die nicht verschlüsselt sein müssen)
Das spielt in Deinem Fall keine Rolle.
__________________
PayPal.Me/JoeUserWings for LifeWings for Life World Run
RootForum CommunityFreeBSD Remote InstallationFreeBSD WebHosting System

„If there’s more than one possible outcome of a job or task, and one of those outcomes will result in disaster or an undesirable consequence, then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Mit Zitat antworten
  #5  
Alt 07.07.2015, 18:18
Depia Depia ist offline
Registered User
 
Registriert seit: 09.2013
Beiträge: 12
Vielen Dank erstmal für die Antworten.
Das hat mich schon einen Schritt weiter gebracht.

Ich habe nun ein Zertifikat bei GoDaddy für "mail.testdomain.com" erstellt, runtergeladen und auf den Mailserver geschoben.

GoDaddy schreibt:

1. Kopieren Sie Ihre SSL-Zertifikatdatei und die Zertifikatbündeldatei auf Ihren Server.

2. Auf dem Server sollte seit der Erstellung Ihrer Zertifikatanforderung bereits eine Schlüsseldatei vorhanden sein.

Eine Schlüsseldatei ist leider noch nicht vorhanden.
Kann mir jemand dabei behilflich sein und mir einen Tipp geben,
wie ich eine Schlüsseldatei erstelle und mir die nächsten Schritte grob erklären?

Die beiden CRT-Dateien heißen "dfb4dc6dcfe35d41.crt" und "gd_bundle-g2-g1.crt" und liegen im Verzeichnis etc/ssl/

Noch eine weitere Frage: Muss das Zertifikat zwangsläufig im PEM-Format vorhanden sein für Postfix/Dovecot?
Mit Zitat antworten
  #6  
Alt 07.07.2015, 23:59
Benutzerbild von elias5000
elias5000 elias5000 ist offline
Pricipal Systems Engineer
 
Registriert seit: 08.2006
Ort: Berlin
Alter: 38
Beiträge: 2.652
Zitat:
Zitat von Depia Beitrag anzeigen
Kann mir jemand dabei behilflich sein und mir einen Tipp geben,
wie ich eine Schlüsseldatei erstelle und mir die nächsten Schritte grob erklären?
Den Private Key musstest du erstellen um den Certificate Request zu erzeugen. Wenn du den nicht mehr hast, ist dein Zertifikat wertlos.
__________________
"Computers in the future may weigh no more than 1.5 tons." (Popular Mechanics, 1949)
Mit Zitat antworten
Antwort

Lesezeichen

Stichworte
dovecot, mailserver, postfix, ssl, zertifikat


Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist aus.
HTML-Code ist aus.

Gehe zu

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Effektiver Spamschutz für Mailserver mit Dovecot/Postfix? LiaraAlis Mail 8 03.01.2013 13:49
Mailserver mit Postfix + Cyrus ohne Dovecot kallepautz Mail 10 18.03.2012 13:49
Mailserver mit Postfix, Procmail, Dovecot (Confixx Quota und autom. Welcome Mail) isp4you Confixx 3 21.07.2010 17:14
Mailserver - Dovecot + Postfix? voodoo44 Mail 4 15.02.2009 14:21





Powered by vBulletin® Version 3.8.11 (Deutsch)
Copyright ©2000 - 2018, vBulletin Solutions, Inc.
Search Engine Optimisation provided by DragonByte SEO (Pro) - vBulletin Mods & Addons Copyright © 2018 DragonByte Technologies Ltd.