Plesk Onyx 17.5: E-Mail-Zertifikatssicherung wird nicht übernommen...

Fuchur84

New Member
Plesk Onyx 17.5: E-Mail-SSL-Zertifikat wird nicht übernommen...

Hallo Leute,

ich habe ein kleines Problem mit Plesk Onyx 17.5 und der E-Mail-Zertifikatszuweisung. Ich habe ein Let's Encrypt-Zertifikat angelegt und damit die Domain abgesichert.

Es gilt für "www.domain.de" und "domain.de".
Nun habe ich unter "Tools > SSL/TLS-Zertifikate" in Plesk das entsprechende Zertifikat bei "Zertifikat zum Schutz von Plesk" und bei "Zertifikat zum Schutz von E-Mails" hinterlegt. E-Mails rufe ich dann über www.domain.de ab.

Leider scheint der Server (z. B. für meine IMAP-Verbindung) aber weiterhin das default-Zertifikat auszuliefern. Schau ich im Mailclient das Zertifikat an, so steht da weiterhin "ausgestellt von Plesk, nicht vertrauenswürdig" und der Mailabruf klappt nicht.

Ich hab mich dann ein wenig im Netz schlau gemacht und z. B. die sw-cp-server-Services gekillt und neu gestartet. Das hilft aber leider nicht.
Danach hab ich dann einfach mal einen Reboot des ganzen Servers gemacht (vielleicht hab ich ja nen Prozess übersehen oder so). Ändert aber leider auch nichts.

Weiß jemand Rat, warum er trotz Einstellung das falsche Zertifikat ausliefert?

Viele Grüße und vielen Dank im Voraus für Eure Antwort
*Fuchur*
 
Last edited by a moderator:
Last edited by a moderator:
Vielen Dank für die Antwort: Hier die Ausgaben.

Mal sehen welche Zertifikate da benutzt werden.
Was zeigt in der shell denn:
grep -iR pem /etc/dovecot/

Und lass dir mal die Zertifikate anzeigen, die für deine Maildomain verwendet werden:
plesk bin certificate -l -domain mail.example.org

Siehe
https://docs.plesk.com/en-US/onyx/c...lities/certificate-ssltls-certificates.39009/
https://docs.plesk.com/en-US/onyx/c...lities/mailserver-mail-server-settings.37779/

Hi Gwen,

vielen Dank schonmal für Deine Antwort. :)

Also bei "grep -iR pem /etc/dovecot" krieg ich das hier raus:
Code:
/etc/dovecot/dovecot.conf:# PEM encoded X.509 SSL/TLS certificate and private key.
/etc/dovecot/dovecot.conf:ssl_cert = </etc/dovecot/private/ssl-cert-and-key.pem
/etc/dovecot/dovecot.conf:ssl_key =  </etc/dovecot/private/ssl-cert-and-key.pem

Also die Standard-Zertifikate so wie es aussieht. Und wenn ich "plesk bin certificate -l -domain (domainname).de" eingebe, kriege ich dann die Zertifikate ausgegeben wie folgt:
Code:
CSR Priv Cert CA Name                                              Used
Y   Y    N    N  domainname.de                                    0
Y   Y    Y    Y  Lets Encrypt jugend.domainname.de        1
Y   Y    Y    Y  Lets Encrypt domainname.de                  1
Y   Y    Y    Y  Lets Encrypt webmail.domainname.de       1
Y   Y    N    N  SSL123 www.domainname.de                  0
N   Y    Y    Y  www.domainname.de                             0

Du sprichst da von mail.domainname.de. Brauch ich die mail-Subdomaon vielleicht zwingend? Bis jetzt hab ich einfach www.domainname.de verwendet (auch damit ich für Website und Mail das gleiche SSL-Zertifikat verwenden kann).

Das SSL123 war ein Kaufzertifikat (mittlerweile abgelaufen), das ich aber gerne durch Lets Encrypt ersetzen würde. Das Let's Encrypt-Zertifikat hab ich über die LetsEncrypt-Erweiterung von Plesk Onyx 17.5 installiert und bei der Erstellung auch die www-Subdomain mitsichern lassen. (muss man ja nur eine Checkbox für anwählen).

Für den normalen Websiteaufruf läuft das auch einwandfrei und wird als gesichert im Browser angezeigt. webmail.domainname.de ist zum Aufruf von einem Webmailer im Browser gedacht und nicht für die IMAP/POP3/SMTP-Kommunikation.

Ich hab jetzt auch mal versucht die Default-Zertifikate zu löschen, da schreit er aber im Plesk, dass diese noch verwendet werden.
Das zeigt er mit dann unter "Tools & Einstellungen > SSL/TLS-Zertifikate" auch so an:

Code:
Name                            Verwendet
default certificate           0
default certificate           3
Parallel Plesk Panel          0
www-domainname-de      0

Interessant find ich da auch, dass da die Lets Encrypt-Zertifikate gar nicht angezeigt werden. (beim Kunden im Kundenpanel sind sie aber zugewiesen und funktionieren ja auch für die Website an sich) und auch für Plesk.
(das Controlpanel von Plesk ruf ich allerdings über eine andere Domain auf (ist ein Stratoserver mit einer stratoserver.net-Domain, so dass dann das SSL-Zertifikat natürlich nicht übereinstimmt. Spielt aber keine Rolle. Beim Erstaufruf kam da dann "dieses Zertifikat gilt nur für domainname.de und www.domainname.de", was ja heisst, dass es wohl korrekt übernommen wurde.

Viele Grüße
*Fuchur*
 
Last edited by a moderator:
Wie dein Mailserver sich meldet, weiß ich nicht, aber nach Internetstandard eigentlich muss der eine Subdomain haben, die Domain selbst ist kein FQDN (gültiger qualifizierter Domainname). Und www. ist erst auch keine sinnvolle Mailserverdomain.

Was dein Dovecot anbelangt irritiert mich, dass da nur /etc/dovecot/private/ssl-cert-and-key.pem gefunen wurde.
Denn zuständig ist bei mir laut /etc/dovecot/conf.d/11-plesk-security-ssl.conf die datei /etc/dovecot/private/dovecot.pem
Siehe mein grep:

Code:
/etc/dovecot/dovecot.conf:# PEM encoded X.509 SSL/TLS certificate and private key.
/etc/dovecot/dovecot.conf:ssl_cert = </etc/dovecot/private/ssl-cert-and-key.pem
/etc/dovecot/dovecot.conf:ssl_key =  </etc/dovecot/private/ssl-cert-and-key.pem
/etc/dovecot/conf.d/11-plesk-security-ssl.conf:ssl_dh=</opt/psa/etc/dhparams1024.pem
/etc/dovecot/conf.d/11-plesk-security-ssl.conf:ssl_cert=</etc/dovecot/private/dovecot.pem
/etc/dovecot/conf.d/11-plesk-security-ssl.conf:ssl_key=</etc/dovecot/private/dovecot.pem

Ob das folgende hilft, kann ich nicht sagen, probiers mal:
plesk repair mail
plesk repair web
 
Last edited by a moderator:
Hab ich durchgeführt.
Er sagt bei beiden jeweils überall OK und am Ende bei beiden "Error messages: 0; Warnings: 0; Errors resolved: 0".

Weil ich vorher im Plesk das Default-Zertifikat umgestellt habe, steht dort nun in der Übersicht im Plesk nicht mehr beim von Plesk zur Verfügung gestellten Zertifikat die 3 sondern jetzt bei www-domainname-de.

Leider hat sich sonst aber nichts verändert. Er gibt weiterhin das Default-Zertifikat aus.

Hast Du vielleich noch eine andere Idee?

Viele Grüße und vielen Dank nochmal :)
*Fuchur*
 
Last edited by a moderator:
Langsam glaub ich ja an einen Bug...

Langsam glaub ich ja an einen Bug...

Ich habe jetzt wie in Deinem Link beschrieben über:
Code:
plesk bin mailserver --set-certificate "Lets Encrypt domainname.de" -certificate-repository domainname.de

...das Ganze nochmal setzen lassen. Er setzt es auch bezogen auf die Infos in Plesk. (da steht dann das entsprechende Zertifikat auch drin bei Tools > SSL-Zertifikate, etc.) aber ausgeliefert wird laut Mailclient und SSL-Testwerkzeug (https://de.ssl-tools.net/mailservers) weiterhin das von "Parallels Panel".

Viele Grüße
*Fuchur*
 
Ich tippe darauf dass dein früheres Restore nicht komplett und konsistent war – wer weiß warum.
Aber wenn es nun geht, sei froh. :)
 
Kannst du mal kurz probieren im Plesk GUI selbst, für den Mailserver auf das Plesk Zertifikat umzustellen, den Mailserver neu zu starten, dann den Mailserver auf dein Zertifikat und dann Mailserver neu starten.
Ich weiß. Pfriemelei mit Browser und SSH.

Hast du kein Verzeichnis mit /etc/dovecot/conf.d/ Wenn nein, was ist das denn für ein Linux genau?

Und vielleicht ist ja im Plesk-Log /var/log/plesk/panel.log was zu finden, dass was nicht richtig bezüglich Mailserver+Zertifikat gesetzt wird.

Langsam weiß ich nicht mehr wo es bei dir hakt.
Probier mal die Methode:
plesk repair installation
 
Last edited by a moderator:
Hi Gwen,

also auf dem Server läuft Ubuntu 16.04.04 LTS + Plesk Onyx 17.5.3.
Den Ordner "/etc/dovecot/conf.d" hab ich. darin liegen einige .conf-Dateien:
Code:
10-plesk-security.conf
11-plesk-security-ssl.conf
15-plesk-auth.conf
90-plesk-sieve.conf
92-plesk-service-imap.conf
92-plesk-service-pop.conf
92-plesk-userip_connections.conf

Da wird die TLS-Version geregelt und ähnliches.
Im Log seh ich nichts besonders interessantes. Ein paar Login-Fehlversuche, als ichs Passwort falsch eingegeben habe, ein Let's Encrypt versuch, den aus Versehen für eine externe Domain durchgeführt habe (er versucht dann auf ".well-known/acme-challenge/..." zuzugreifen was aber natürlich auf nem Fremdserver nicht existieren kann, aber wie gesagt: Da dreht es sich um eine andere Subdomain als die interessant für uns hier wären.

Ich mach jetzt mal die Plesk Repair-Installation. Ich melde mich dann wieder.

Viele Grüße und nochmal vielen Dank für die tolle Unterstützung. :)
*Fuchur*
 
Ha! Er gibt mir das Zertifikat aus!
Da scheint was mit der Plesk-Installation/Update nicht richtig gelaufen zu sein!
Ich hab jetzt "plesk repair installation" drübergeschickt und der hat wohl irgendwas gemacht...

Code:
Reconfiguring the Plesk installation

Started bootstrapper repair procedure. This may take a while.
Certain actions may be skipped if not applicable.

 Finishing up upgrade procedures and rerunning previously failed upgrade actions...
===> Cumulative APS controller database (apsc) upgrade and repair has been started.
===> Cumulative upgrade and repair of APS controller database has been completed.
===> Cumulative APS controller upgrade and repair (final stage) has been started.
===> Cumulative upgrade and repair of APS controller (final stage) has been completed.
===> Cumulative Plesk database upgrade and repair (revertable stage) has been started.
===> Preparing Plesk database upgrade (revertable stage).
Stopping sw_engine service... done
===> Cumulative upgrade and repair of Plesk database (revertable stage) has been completed.
===> Plesk database scheme upgrade has been started.
Applying migrations from: /opt/psa/bootstrapper/pp17.5.3-bootstrapper/migrations/
===> Plesk database scheme upgrade has been completed.
===> Cumulative Plesk upgrade and repair (final stage) has been started.
===> Preparing Plesk upgrade (final stage).
Stopping sw_engine service... already stopped
Synchronizing state of rsyslog.service with SysV init with /lib/systemd/systemd-sysv-install...
Executing /lib/systemd/systemd-sysv-install enable rsyslog
Error: duplicate column name: protected
Operation completed successfully===> Plesk was not upgraded completely. See installation log for details.
 Reconfiguring mail subsystem...
 Reconfiguring Apache web server...
[Tue Apr 17 18:45:17.719388 2018] [so:warn] [pid 16262:tid 140118774089600] AH01574: module proxy_module is already loaded, skipping
[Tue Apr 17 18:45:17.720695 2018] [so:warn] [pid 16262:tid 140118774089600] AH01574: module proxy_module is already loaded, skipping
[Tue Apr 17 18:45:17.720746 2018] [so:warn] [pid 16262:tid 140118774089600] AH01574: module proxy_http_module is already loaded, skipping
[Tue Apr 17 18:45:17.722922 2018] [so:warn] [pid 16262:tid 140118774089600] AH01574: module proxy_module is already loaded, skipping
[Tue Apr 17 18:45:17.722962 2018] [so:warn] [pid 16262:tid 140118774089600] AH01574: module proxy_http_module is already loaded, skipping
Module mpm_prefork already disabled
Module mpm_worker already disabled
 Reconfiguring ProFTPD FTP server...
===> Configuring ProFTPD server
 Reconfiguring AWStats web statistics...
-i used with no filenames on the command line, reading from STDIN.
 Reconfiguring WatchDog...
 Restoring SELinux contexts...
Synchronizing state of sw-cp-server.service with SysV init with /lib/systemd/systemd-sysv-install...
Executing /lib/systemd/systemd-sysv-install enable sw-cp-server
Synchronizing state of sw-engine.service with SysV init with /lib/systemd/systemd-sysv-install...
Executing /lib/systemd/systemd-sysv-install enable sw-engine
Synchronizing state of dovecot.service with SysV init with /lib/systemd/systemd-sysv-install...
Executing /lib/systemd/systemd-sysv-install enable dovecot
Synchronizing state of pc-remote.service with SysV init with /lib/systemd/systemd-sysv-install...
Executing /lib/systemd/systemd-sysv-install enable pc-remote
Synchronizing state of psa.service with SysV init with /lib/systemd/systemd-sysv-install...
Executing /lib/systemd/systemd-sysv-install enable psa
 Reconfiguring SSL ciphers and protocols...
 Regenerating web servers' configuration files...
 Cleaning active Panel sessions...

Bootstrapper repair finished.
Errors occurred while performing the following actions: cumulative Plesk upgrade and repair final stage.
Check '/var/log/plesk/install/plesk_17.5.3_repair.log' and '/var/log/plesk/install/plesk_17.5.3_repair_problems.log' for details.
If you can't resolve the issue on your own, please address Parallels support.
exit status 1

In dem log seh ich, dass ihm irgendwie einige PSA-DB fehlen:
Code:
ERROR 1146 (42S02) at line 1: Table 'psa.ai_vendor_sources' doesn't exist
...
ERROR 1146 (42S02) at line 1: Table 'psa.cf_dsn_params' doesn't exist
...
ERROR 1146 (42S02) at line 1: Table 'psa.SharedSslDomains' doesn't exist

Nr. 3 hört sich blöd an, aber ich weiß natürlich nicht ob mich das irgendwie tangiert. Scheint zumindest erstmal nach dem Mailserver-SSL-Test-Tool zu funktionieren.

Danach steht noch das hier:
Code:
 Trying to remove /usr/lib/plesk-9.0/postfix-poplockdb-clean from crontab... done
Unable to open /etc/courier-imap/pop3d: No such file or directory

System error 2: No such file or directory
Unable to open /etc/courier-imap/pop3d: No such file or directory

System error 2: No such file or directory
Unable to open /etc/courier-imap/pop3d-ssl: No such file or directory

System error 2: No such file or directory
Unable to open /etc/courier-imap/pop3d-ssl: No such file or directory

System error 2: No such file or directory
Unable to open /etc/courier-imap/authlib/authdaemonrc: No such file or directory

System error 2: No such file or directory
Unable to open /etc/courier-imap/authlib/authdaemonrc: No such file or directory

System error 2: No such file or directory

Auch sicher nicht hilfreich, wobei ich auch da nicht weiß, was das heisst. Wäre zumindest mal ein mit derm Mail-System zusammenhängendes Problem.

Danach steht aber drin, dass SSL ciphers und protocols korrekt eingerichtet wurden und der Mailserver auch korrekt eingerichtet wurde.

Ist ein ziemlich langes Log und ich hoffe ich hab nichts übersehen, aber das müssten so die wichtigstens Sachen daraus sein denke ich...

Aber wie gesagt: Er liefert jetzt das SSL-Zertifikat für den Mailserver aus :).

Viele Grüße
*Fuchur*
 
//EDIT: Oh, du has tgepostet, übersehen!

Kann sein, dass es da einen Bug gibt in Plesk. Mein Erinnerung nach weiß ich aber nicht mehr wann.
Klappt es bei mir so:

Erzeuge doch mal eine leere /etc/dovecot/private/dovecot.pem
Füge in der /etc/dovecot/conf.d/11-plesk-security-ssl.conf folgendes hinzu:
Code:
ssl_cert=</etc/dovecot/private/dovecot.pem
ssl_key=</etc/dovecot/private/dovecot.pem
In Plesk GUI bei der Domain, die das Mail verwaltet, gehe in die Lets Encrypt Einstellungen und erneuere das Zertifikat.
Das erzeugt dann eines in /etc/dovecot/private/dovecot.pem

Ein Neustart von Dovecot sollte das neue bringen.
 
Last edited by a moderator:
Also nicht das es mich wundern würde, aber auch wenn https://de.ssl-tools.net/mailservers mir anzeigt, dass er gesichert ist und das entsprechende Zertifikat korrekt ausgeliefert wird, sieht das sowohl das iPad als auch Outlook 2013 wohl leider anders... da krieg ich die entsprechende Fehlermeldung "weiterhin" (mit dem iPad hab ichs vorher immer mal wieder versucht, Outlook jetzt das erste mal...) angezeigt... *grr*

Ich probier mal deinen anderen Konfigurationsvorschlag aus...

Viele Grüße
*Fuchur*
 
Ist dein Server so geheim dass ich nicht mal selbst mit openssl ansehen kann wie die Zertifikate sind?
PN unterwegs an dich.
 
Mag er nicht besonderes...
Hab ich mal eingetragen, aber sobald ich dann eine Verbindung aufzubauen versuche, kriegt er wohl gar keine Antwort mehr vom Server (beide clients timen einfach aus)... nehm ich die beiden Zeilen wieder raus (hab sie einfach per # auskommentiert) kann ich mich zumindest mal wieder verbinden und er schreit wegen dem Zertifikat.

Allerdings nur beim iPad... aus irgendeinem Grund scheint Outlook jetzt durchzulaufen... *kopfkratzt*
Irgendwie ganz schön inkonsistent das Ganze...

Viele Grüße
*Fuchur*
 
Last edited by a moderator:
POP3 und IMAP liefern immer noch das Plesk-Platzhalterzertifikat aus.
Schau mal:
openssl s_client -connect DEINEDOMAIN.TLD:993
Da ist im CN immer noch Plesk drin.

Probieren wir mal das:
Erzeuge eine subdomain mail..... für deine Domain
Erzeuge ein Let's Encrypt-Zertifikat dafür
Aktiviere das für die Domain
Jetzt weise dem Mailserver dieses mail...-Zertifikat zu.
Starte Deovecot neu

Geht das dann?
Sowas hat auf meinen Debians früher geklappt.
 
Hi Gwen,

leider nein. Hab jetzt die Subdomain angelegt, dann die mail.domainname.de angelegt und ein Let's Encrypt dafür erzeugt. Dann wieder zu "Tools & Einstellungen > SSL/TLS Zertifikate" gewechselt und dort bei "Zertifikat zum Schutz von E-Mails" das "Lets Encrypt mail.domainname.de von domainname.de" hinterlegt. (ich kriege eine Erfolgsmeldung oben "Information: Das Zertifikat Lets Encrypt mail.domainname.de wurde erfolgreich zum Schutz des Mailservers eingerichtet." und es steht auch unten drunter bei Zertifikat zum Schutz von E-Mails drin.

Der openssl-Befehl gibt für mail.domainname.de wie auch für domainname.de weiterhin das Standard-Plesk-Zertifikat aus... :(

Viele Grüße
*Fuchur*
 
Ich weiß auch nicht was bei dir anders ist.
Vielleicht hat ja dein damaliges Restore irgendwo eine Plesk-Datenbank nicht korrekt geändert.

Frage doch bitte auf https://talk.plesk.com/forums/plesk-onyx-for-linux.744/ weiter.

//EDIT: Interessant, schau doch mal das erst an:
https://support.plesk.com/hc/en-us/articles/360000577934-Incorrect-certificate-used-for-mail-client
https://support.plesk.com/hc/en-us/...-utility-resets-certificate-for-securing-mail

//EDIT2:
Du könntest mal die Datenbank ansehen.
plesk db "select id, name from certificates where name like '%DEINEDOMAIN.TLD%'"

Ich habe zwar was gefunden wo man man noch nachforschen könnte, aber ich habe jetzt auch keine Zeit dafür die Tabelle zu checken wo was drin ist.
https://github.com/plesk/letsencrypt-plesk/wiki/Error-"Unable-to-set-certificate-name-:"
https://github.com/plesk/letsencrypt-plesk/issues
 
Last edited by a moderator:
Ich habe vorhin auf meinem lokalen Debian 9 getestet, da kann ich bei meiner Plesk 17.8.11-m5 Onyx auch die Mailserver-Zertifikate korrekt auf die Maildomain setzen.

Muss wohl dein Ubuntu sein, was da kaputt ist.

Damit es bei dir läuft, solltest du dein System von jemand gegen Geld prüfen/reparieren lassen.
Viel Erfolg noch.
 
Back
Top