Server Support Forum


Zurück   Server Support Forum > >


Antwort
 
Themen-Optionen Thema bewerten
  #1  
Alt 17.04.2018, 09:43
Fuchur84 Fuchur84 ist offline
Registered User
 
Registriert seit: 04.2018
Beiträge: 16
Plesk Onyx 17.5: E-Mail-SSL-Zertifikat wird nicht übernommen...

Hallo Leute,

ich habe ein kleines Problem mit Plesk Onyx 17.5 und der E-Mail-Zertifikatszuweisung. Ich habe ein Let's Encrypt-Zertifikat angelegt und damit die Domain abgesichert.

Es gilt für "www.domain.de" und "domain.de".
Nun habe ich unter "Tools > SSL/TLS-Zertifikate" in Plesk das entsprechende Zertifikat bei "Zertifikat zum Schutz von Plesk" und bei "Zertifikat zum Schutz von E-Mails" hinterlegt. E-Mails rufe ich dann über www.domain.de ab.

Leider scheint der Server (z. B. für meine IMAP-Verbindung) aber weiterhin das default-Zertifikat auszuliefern. Schau ich im Mailclient das Zertifikat an, so steht da weiterhin "ausgestellt von Plesk, nicht vertrauenswürdig" und der Mailabruf klappt nicht.

Ich hab mich dann ein wenig im Netz schlau gemacht und z. B. die sw-cp-server-Services gekillt und neu gestartet. Das hilft aber leider nicht.
Danach hab ich dann einfach mal einen Reboot des ganzen Servers gemacht (vielleicht hab ich ja nen Prozess übersehen oder so). Ändert aber leider auch nichts.

Weiß jemand Rat, warum er trotz Einstellung das falsche Zertifikat ausliefert?

Viele Grüße und vielen Dank im Voraus für Eure Antwort
*Fuchur*

Geändert von Fuchur84 (17.04.2018 um 10:32 Uhr) Grund: Themenname abgewandelt.
Mit Zitat antworten

  #2  
Alt 17.04.2018, 11:09
GwenDragon GwenDragon ist offline
Registered User
 
Registriert seit: 12.2008
Ort: Franken
Alter: 57
Beiträge: 3.052
Mal sehen welche Zertifikate da benutzt werden.
Was zeigt in der shell denn:
grep -iR pem /etc/dovecot/

Und lass dir mal die Zertifikate anzeigen, die für deine Maildomain verwendet werden:
plesk bin certificate -l -domain mail.example.org

Siehe
https://docs.plesk.com/en-US/onyx/cl...ficates.39009/
https://docs.plesk.com/en-US/onyx/cl...ettings.37779/
__________________
die Gwen, also die Drachin... nix anderscht!

Geändert von GwenDragon (17.04.2018 um 11:30 Uhr)
Mit Zitat antworten
  #3  
Alt 17.04.2018, 12:18
Fuchur84 Fuchur84 ist offline
Registered User
 
Registriert seit: 04.2018
Beiträge: 16
Vielen Dank für die Antwort: Hier die Ausgaben.

Zitat:
Zitat von GwenDragon Beitrag anzeigen
Mal sehen welche Zertifikate da benutzt werden.
Was zeigt in der shell denn:
grep -iR pem /etc/dovecot/

Und lass dir mal die Zertifikate anzeigen, die für deine Maildomain verwendet werden:
plesk bin certificate -l -domain mail.example.org

Siehe
https://docs.plesk.com/en-US/onyx/cl...ficates.39009/
https://docs.plesk.com/en-US/onyx/cl...ettings.37779/
Hi Gwen,

vielen Dank schonmal für Deine Antwort.

Also bei "grep -iR pem /etc/dovecot" krieg ich das hier raus:
Code:
/etc/dovecot/dovecot.conf:# PEM encoded X.509 SSL/TLS certificate and private key.
/etc/dovecot/dovecot.conf:ssl_cert = </etc/dovecot/private/ssl-cert-and-key.pem
/etc/dovecot/dovecot.conf:ssl_key =  </etc/dovecot/private/ssl-cert-and-key.pem
Also die Standard-Zertifikate so wie es aussieht. Und wenn ich "plesk bin certificate -l -domain (domainname).de" eingebe, kriege ich dann die Zertifikate ausgegeben wie folgt:
Code:
CSR Priv Cert CA Name                                              Used
Y   Y    N    N  domainname.de                                    0
Y   Y    Y    Y  Lets Encrypt jugend.domainname.de        1
Y   Y    Y    Y  Lets Encrypt domainname.de                  1
Y   Y    Y    Y  Lets Encrypt webmail.domainname.de       1
Y   Y    N    N  SSL123 www.domainname.de                  0
N   Y    Y    Y  www.domainname.de                             0
Du sprichst da von mail.domainname.de. Brauch ich die mail-Subdomaon vielleicht zwingend? Bis jetzt hab ich einfach www.domainname.de verwendet (auch damit ich für Website und Mail das gleiche SSL-Zertifikat verwenden kann).

Das SSL123 war ein Kaufzertifikat (mittlerweile abgelaufen), das ich aber gerne durch Lets Encrypt ersetzen würde. Das Let's Encrypt-Zertifikat hab ich über die LetsEncrypt-Erweiterung von Plesk Onyx 17.5 installiert und bei der Erstellung auch die www-Subdomain mitsichern lassen. (muss man ja nur eine Checkbox für anwählen).

Für den normalen Websiteaufruf läuft das auch einwandfrei und wird als gesichert im Browser angezeigt. webmail.domainname.de ist zum Aufruf von einem Webmailer im Browser gedacht und nicht für die IMAP/POP3/SMTP-Kommunikation.

Ich hab jetzt auch mal versucht die Default-Zertifikate zu löschen, da schreit er aber im Plesk, dass diese noch verwendet werden.
Das zeigt er mit dann unter "Tools & Einstellungen > SSL/TLS-Zertifikate" auch so an:

Code:
Name                            Verwendet
default certificate           0
default certificate           3
Parallel Plesk Panel          0
www-domainname-de      0
Interessant find ich da auch, dass da die Lets Encrypt-Zertifikate gar nicht angezeigt werden. (beim Kunden im Kundenpanel sind sie aber zugewiesen und funktionieren ja auch für die Website an sich) und auch für Plesk.
(das Controlpanel von Plesk ruf ich allerdings über eine andere Domain auf (ist ein Stratoserver mit einer stratoserver.net-Domain, so dass dann das SSL-Zertifikat natürlich nicht übereinstimmt. Spielt aber keine Rolle. Beim Erstaufruf kam da dann "dieses Zertifikat gilt nur für domainname.de und www.domainname.de", was ja heisst, dass es wohl korrekt übernommen wurde.

Viele Grüße
*Fuchur*

Geändert von Fuchur84 (17.04.2018 um 12:30 Uhr) Grund: Noch ein paar Infos hinzugefügt.
Mit Zitat antworten
  #4  
Alt 17.04.2018, 13:05
GwenDragon GwenDragon ist offline
Registered User
 
Registriert seit: 12.2008
Ort: Franken
Alter: 57
Beiträge: 3.052
Wie dein Mailserver sich meldet, weiß ich nicht, aber nach Internetstandard eigentlich muss der eine Subdomain haben, die Domain selbst ist kein FQDN (gültiger qualifizierter Domainname). Und www. ist erst auch keine sinnvolle Mailserverdomain.

Was dein Dovecot anbelangt irritiert mich, dass da nur /etc/dovecot/private/ssl-cert-and-key.pem gefunen wurde.
Denn zuständig ist bei mir laut /etc/dovecot/conf.d/11-plesk-security-ssl.conf die datei /etc/dovecot/private/dovecot.pem
Siehe mein grep:

Code:
/etc/dovecot/dovecot.conf:# PEM encoded X.509 SSL/TLS certificate and private key.
/etc/dovecot/dovecot.conf:ssl_cert = </etc/dovecot/private/ssl-cert-and-key.pem
/etc/dovecot/dovecot.conf:ssl_key =  </etc/dovecot/private/ssl-cert-and-key.pem
/etc/dovecot/conf.d/11-plesk-security-ssl.conf:ssl_dh=</opt/psa/etc/dhparams1024.pem
/etc/dovecot/conf.d/11-plesk-security-ssl.conf:ssl_cert=</etc/dovecot/private/dovecot.pem
/etc/dovecot/conf.d/11-plesk-security-ssl.conf:ssl_key=</etc/dovecot/private/dovecot.pem
Ob das folgende hilft, kann ich nicht sagen, probiers mal:
plesk repair mail
plesk repair web
__________________
die Gwen, also die Drachin... nix anderscht!

Geändert von GwenDragon (17.04.2018 um 13:09 Uhr)
Mit Zitat antworten
  #5  
Alt 17.04.2018, 14:22
Fuchur84 Fuchur84 ist offline
Registered User
 
Registriert seit: 04.2018
Beiträge: 16
Hab ich durchgeführt.
Er sagt bei beiden jeweils überall OK und am Ende bei beiden "Error messages: 0; Warnings: 0; Errors resolved: 0".

Weil ich vorher im Plesk das Default-Zertifikat umgestellt habe, steht dort nun in der Übersicht im Plesk nicht mehr beim von Plesk zur Verfügung gestellten Zertifikat die 3 sondern jetzt bei www-domainname-de.

Leider hat sich sonst aber nichts verändert. Er gibt weiterhin das Default-Zertifikat aus.

Hast Du vielleich noch eine andere Idee?

Viele Grüße und vielen Dank nochmal
*Fuchur*

Geändert von Fuchur84 (17.04.2018 um 14:22 Uhr) Grund: Tippfehler
Mit Zitat antworten
  #6  
Alt 17.04.2018, 14:27
GwenDragon GwenDragon ist offline
Registered User
 
Registriert seit: 12.2008
Ort: Franken
Alter: 57
Beiträge: 3.052
Dann halt mit Gewalt wie unter 4.4 bei https://support.plesk.com/hc/en-us/a...ficate-via-CLI beschrieben.

Und nicht vergessen:
service dovecot restart
__________________
die Gwen, also die Drachin... nix anderscht!
Mit Zitat antworten
  #7  
Alt 17.04.2018, 15:02
Fuchur84 Fuchur84 ist offline
Registered User
 
Registriert seit: 04.2018
Beiträge: 16
Langsam glaub ich ja an einen Bug...

Langsam glaub ich ja an einen Bug...

Ich habe jetzt wie in Deinem Link beschrieben über:
Code:
plesk bin mailserver --set-certificate "Lets Encrypt domainname.de" -certificate-repository domainname.de
...das Ganze nochmal setzen lassen. Er setzt es auch bezogen auf die Infos in Plesk. (da steht dann das entsprechende Zertifikat auch drin bei Tools > SSL-Zertifikate, etc.) aber ausgeliefert wird laut Mailclient und SSL-Testwerkzeug (https://de.ssl-tools.net/mailservers) weiterhin das von "Parallels Panel".

Viele Grüße
*Fuchur*
Mit Zitat antworten
  #8  
Alt 17.04.2018, 16:02
GwenDragon GwenDragon ist offline
Registered User
 
Registriert seit: 12.2008
Ort: Franken
Alter: 57
Beiträge: 3.052
Ich tippe darauf dass dein früheres Restore nicht komplett und konsistent war – wer weiß warum.
Aber wenn es nun geht, sei froh.
__________________
die Gwen, also die Drachin... nix anderscht!
Mit Zitat antworten
  #9  
Alt 17.04.2018, 16:10
Fuchur84 Fuchur84 ist offline
Registered User
 
Registriert seit: 04.2018
Beiträge: 16
Zitat:
Zitat von GwenDragon Beitrag anzeigen
Ich tippe darauf dass dein früheres Restore nicht komplett und konsistent war – wer weiß warum.
Aber wenn es nun geht, sei froh.
Ne, hat leider nicht geklappt. Er zeigt weiterhin dieses "Parallel Plesk"-Zertifikat an (das ist das Standard-Zertifikat, nicht mein www.domainname.de-Zertifikat...)

Viele Grüße
*Fuchur*

Geändert von Fuchur84 (17.04.2018 um 16:12 Uhr) Grund: Tippfehler
Mit Zitat antworten
  #10  
Alt 17.04.2018, 16:51
GwenDragon GwenDragon ist offline
Registered User
 
Registriert seit: 12.2008
Ort: Franken
Alter: 57
Beiträge: 3.052
Kannst du mal kurz probieren im Plesk GUI selbst, für den Mailserver auf das Plesk Zertifikat umzustellen, den Mailserver neu zu starten, dann den Mailserver auf dein Zertifikat und dann Mailserver neu starten.
Ich weiß. Pfriemelei mit Browser und SSH.

Hast du kein Verzeichnis mit /etc/dovecot/conf.d/ Wenn nein, was ist das denn für ein Linux genau?

Und vielleicht ist ja im Plesk-Log /var/log/plesk/panel.log was zu finden, dass was nicht richtig bezüglich Mailserver+Zertifikat gesetzt wird.

Langsam weiß ich nicht mehr wo es bei dir hakt.
Probier mal die Methode:
plesk repair installation
__________________
die Gwen, also die Drachin... nix anderscht!

Geändert von GwenDragon (17.04.2018 um 17:07 Uhr)
Mit Zitat antworten
  #11  
Alt 17.04.2018, 17:43
Fuchur84 Fuchur84 ist offline
Registered User
 
Registriert seit: 04.2018
Beiträge: 16
Hi Gwen,

also auf dem Server läuft Ubuntu 16.04.04 LTS + Plesk Onyx 17.5.3.
Den Ordner "/etc/dovecot/conf.d" hab ich. darin liegen einige .conf-Dateien:
Code:
10-plesk-security.conf
11-plesk-security-ssl.conf
15-plesk-auth.conf
90-plesk-sieve.conf
92-plesk-service-imap.conf
92-plesk-service-pop.conf
92-plesk-userip_connections.conf
Da wird die TLS-Version geregelt und ähnliches.
Im Log seh ich nichts besonders interessantes. Ein paar Login-Fehlversuche, als ichs Passwort falsch eingegeben habe, ein Let's Encrypt versuch, den aus Versehen für eine externe Domain durchgeführt habe (er versucht dann auf ".well-known/acme-challenge/..." zuzugreifen was aber natürlich auf nem Fremdserver nicht existieren kann, aber wie gesagt: Da dreht es sich um eine andere Subdomain als die interessant für uns hier wären.

Ich mach jetzt mal die Plesk Repair-Installation. Ich melde mich dann wieder.

Viele Grüße und nochmal vielen Dank für die tolle Unterstützung.
*Fuchur*
Mit Zitat antworten
  #12  
Alt 17.04.2018, 18:09
Fuchur84 Fuchur84 ist offline
Registered User
 
Registriert seit: 04.2018
Beiträge: 16
Ha! Er gibt mir das Zertifikat aus!
Da scheint was mit der Plesk-Installation/Update nicht richtig gelaufen zu sein!
Ich hab jetzt "plesk repair installation" drübergeschickt und der hat wohl irgendwas gemacht...

Code:
Reconfiguring the Plesk installation

Started bootstrapper repair procedure. This may take a while.
Certain actions may be skipped if not applicable.

 Finishing up upgrade procedures and rerunning previously failed upgrade actions...
===> Cumulative APS controller database (apsc) upgrade and repair has been started.
===> Cumulative upgrade and repair of APS controller database has been completed.
===> Cumulative APS controller upgrade and repair (final stage) has been started.
===> Cumulative upgrade and repair of APS controller (final stage) has been completed.
===> Cumulative Plesk database upgrade and repair (revertable stage) has been started.
===> Preparing Plesk database upgrade (revertable stage).
Stopping sw_engine service... done
===> Cumulative upgrade and repair of Plesk database (revertable stage) has been completed.
===> Plesk database scheme upgrade has been started.
Applying migrations from: /opt/psa/bootstrapper/pp17.5.3-bootstrapper/migrations/
===> Plesk database scheme upgrade has been completed.
===> Cumulative Plesk upgrade and repair (final stage) has been started.
===> Preparing Plesk upgrade (final stage).
Stopping sw_engine service... already stopped
Synchronizing state of rsyslog.service with SysV init with /lib/systemd/systemd-sysv-install...
Executing /lib/systemd/systemd-sysv-install enable rsyslog
Error: duplicate column name: protected
Operation completed successfully===> Plesk was not upgraded completely. See installation log for details.
 Reconfiguring mail subsystem...
 Reconfiguring Apache web server...
[Tue Apr 17 18:45:17.719388 2018] [so:warn] [pid 16262:tid 140118774089600] AH01574: module proxy_module is already loaded, skipping
[Tue Apr 17 18:45:17.720695 2018] [so:warn] [pid 16262:tid 140118774089600] AH01574: module proxy_module is already loaded, skipping
[Tue Apr 17 18:45:17.720746 2018] [so:warn] [pid 16262:tid 140118774089600] AH01574: module proxy_http_module is already loaded, skipping
[Tue Apr 17 18:45:17.722922 2018] [so:warn] [pid 16262:tid 140118774089600] AH01574: module proxy_module is already loaded, skipping
[Tue Apr 17 18:45:17.722962 2018] [so:warn] [pid 16262:tid 140118774089600] AH01574: module proxy_http_module is already loaded, skipping
Module mpm_prefork already disabled
Module mpm_worker already disabled
 Reconfiguring ProFTPD FTP server...
===> Configuring ProFTPD server
 Reconfiguring AWStats web statistics...
-i used with no filenames on the command line, reading from STDIN.
 Reconfiguring WatchDog...
 Restoring SELinux contexts...
Synchronizing state of sw-cp-server.service with SysV init with /lib/systemd/systemd-sysv-install...
Executing /lib/systemd/systemd-sysv-install enable sw-cp-server
Synchronizing state of sw-engine.service with SysV init with /lib/systemd/systemd-sysv-install...
Executing /lib/systemd/systemd-sysv-install enable sw-engine
Synchronizing state of dovecot.service with SysV init with /lib/systemd/systemd-sysv-install...
Executing /lib/systemd/systemd-sysv-install enable dovecot
Synchronizing state of pc-remote.service with SysV init with /lib/systemd/systemd-sysv-install...
Executing /lib/systemd/systemd-sysv-install enable pc-remote
Synchronizing state of psa.service with SysV init with /lib/systemd/systemd-sysv-install...
Executing /lib/systemd/systemd-sysv-install enable psa
 Reconfiguring SSL ciphers and protocols...
 Regenerating web servers' configuration files...
 Cleaning active Panel sessions...

Bootstrapper repair finished.
Errors occurred while performing the following actions: cumulative Plesk upgrade and repair final stage.
Check '/var/log/plesk/install/plesk_17.5.3_repair.log' and '/var/log/plesk/install/plesk_17.5.3_repair_problems.log' for details.
If you can't resolve the issue on your own, please address Parallels support.
exit status 1
In dem log seh ich, dass ihm irgendwie einige PSA-DB fehlen:
Code:
ERROR 1146 (42S02) at line 1: Table 'psa.ai_vendor_sources' doesn't exist
...
ERROR 1146 (42S02) at line 1: Table 'psa.cf_dsn_params' doesn't exist
...
ERROR 1146 (42S02) at line 1: Table 'psa.SharedSslDomains' doesn't exist
Nr. 3 hört sich blöd an, aber ich weiß natürlich nicht ob mich das irgendwie tangiert. Scheint zumindest erstmal nach dem Mailserver-SSL-Test-Tool zu funktionieren.

Danach steht noch das hier:
Code:
 Trying to remove /usr/lib/plesk-9.0/postfix-poplockdb-clean from crontab... done
Unable to open /etc/courier-imap/pop3d: No such file or directory

System error 2: No such file or directory
Unable to open /etc/courier-imap/pop3d: No such file or directory

System error 2: No such file or directory
Unable to open /etc/courier-imap/pop3d-ssl: No such file or directory

System error 2: No such file or directory
Unable to open /etc/courier-imap/pop3d-ssl: No such file or directory

System error 2: No such file or directory
Unable to open /etc/courier-imap/authlib/authdaemonrc: No such file or directory

System error 2: No such file or directory
Unable to open /etc/courier-imap/authlib/authdaemonrc: No such file or directory

System error 2: No such file or directory
Auch sicher nicht hilfreich, wobei ich auch da nicht weiß, was das heisst. Wäre zumindest mal ein mit derm Mail-System zusammenhängendes Problem.

Danach steht aber drin, dass SSL ciphers und protocols korrekt eingerichtet wurden und der Mailserver auch korrekt eingerichtet wurde.

Ist ein ziemlich langes Log und ich hoffe ich hab nichts übersehen, aber das müssten so die wichtigstens Sachen daraus sein denke ich...

Aber wie gesagt: Er liefert jetzt das SSL-Zertifikat für den Mailserver aus .

Viele Grüße
*Fuchur*
Mit Zitat antworten
  #13  
Alt 17.04.2018, 18:12
GwenDragon GwenDragon ist offline
Registered User
 
Registriert seit: 12.2008
Ort: Franken
Alter: 57
Beiträge: 3.052
//EDIT: Oh, du has tgepostet, übersehen!

Kann sein, dass es da einen Bug gibt in Plesk. Mein Erinnerung nach weiß ich aber nicht mehr wann.
Klappt es bei mir so:

Erzeuge doch mal eine leere /etc/dovecot/private/dovecot.pem
Füge in der /etc/dovecot/conf.d/11-plesk-security-ssl.conf folgendes hinzu:
Code:
ssl_cert=</etc/dovecot/private/dovecot.pem
ssl_key=</etc/dovecot/private/dovecot.pem
In Plesk GUI bei der Domain, die das Mail verwaltet, gehe in die Lets Encrypt Einstellungen und erneuere das Zertifikat.
Das erzeugt dann eines in /etc/dovecot/private/dovecot.pem

Ein Neustart von Dovecot sollte das neue bringen.
__________________
die Gwen, also die Drachin... nix anderscht!

Geändert von GwenDragon (17.04.2018 um 18:16 Uhr)
Mit Zitat antworten
  #14  
Alt 17.04.2018, 18:35
Fuchur84 Fuchur84 ist offline
Registered User
 
Registriert seit: 04.2018
Beiträge: 16
Also nicht das es mich wundern würde, aber auch wenn https://de.ssl-tools.net/mailservers mir anzeigt, dass er gesichert ist und das entsprechende Zertifikat korrekt ausgeliefert wird, sieht das sowohl das iPad als auch Outlook 2013 wohl leider anders... da krieg ich die entsprechende Fehlermeldung "weiterhin" (mit dem iPad hab ichs vorher immer mal wieder versucht, Outlook jetzt das erste mal...) angezeigt... *grr*

Ich probier mal deinen anderen Konfigurationsvorschlag aus...

Viele Grüße
*Fuchur*
Mit Zitat antworten
  #15  
Alt 17.04.2018, 18:50
GwenDragon GwenDragon ist offline
Registered User
 
Registriert seit: 12.2008
Ort: Franken
Alter: 57
Beiträge: 3.052
Ist dein Server so geheim dass ich nicht mal selbst mit openssl ansehen kann wie die Zertifikate sind?
PN unterwegs an dich.
__________________
die Gwen, also die Drachin... nix anderscht!
Mit Zitat antworten
Antwort

Lesezeichen


Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist aus.
HTML-Code ist aus.

Gehe zu

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Postfix akzeptiert Mails von bestimmten Absendern nicht jhind Mail 6 20.02.2018 15:25
Probleme mit Plesk & Ubuntu (Postfix) Rline-Fahrer Virtuelle Server 32 20.02.2018 08:16
Mail angriffe Abwehren MarkusxX Mail 5 02.02.2018 19:02
Erfahrungsbericht: Warden Antispam & Antivirus für Plesk 12 & Plesk Onyx transp0rter Plesk 9 28.04.2017 09:30
Mail Problem umsteigen von sendmail auf postfix alkoc Dedizierte Server 21 11.02.2006 23:30





Powered by vBulletin® Version 3.8.11 (Deutsch)
Copyright ©2000 - 2018, vBulletin Solutions, Inc.
Search Engine Optimisation provided by DragonByte SEO (Pro) - vBulletin Mods & Addons Copyright © 2018 DragonByte Technologies Ltd.