Web- und Mailserver getrennt. SSL-Zertifkat für Domain mail.* Postfix Dovecot

[Depia]

Hallo,

ich habe:
- Webserver (Debian 8, 64bit, Nginx, PHP, MySQL, ohne Admintool)
- Mailserver (Debian 8, 64bit, Postfix, Dovecot, ohne Admintool)

Der Webserver ist für eine bestimmte Domain, die darüber läuft SSL-Verschlüsselt (Standard-Zertifikat von GoDaddy).

Nun möchte ich den Mailserver für die selbe Domain ebenfalls per SSL-Zertifikat verschlüsseln.

Ich nenne die Domain mal "www.testdomain.com" und "mail.testdomain.com"

Das Zertifikat ist für www.testdomain.com ausgestellt.

Brauche ich nun für "mail.testdomain.com" ein weiteres Zertifikat?
Wenn ja, wie binde ich dieses in Postfix und Dovecot NUR für die eine Domain ein?
(Es laufen noch andere Domains über den Webserver bzw. weitere Postfächer auf den Mailserver die nicht verschlüsselt sein müssen)

Nochmal zum Verständnis: Es geht mir hier nur um den Mailserver.
Der Webserver läuft so wie es soll.

Ich würde mich sehr über Tipps oder Hilfestellungen freuen.

 

[danton]

Wenn du für deine Domain kein Wildcard-Zertifikat hast, brauchst du ein neues. Wenn du auf beiden Servern das gleiche Zertifikat nutzen willst, mußt du auch auf beiden Servern den gleichen privaten Schlüssel verwenden.
Postfix und Dovecot unterscheiden beim Zugriff per SMTP/IMAP/POP3 nicht zwischen verschiedenen Domains, d.h. theoretisch funktioniert es mit jeder Domain, die auf die IP des Mail-Servers zeigt. Bei Verschlüsselung machen sich die "falschen" Domains nur dadurch bemerkbar, dass das Zertifikat nicht zur Domains passt.
Erstell dir für mail.example1.com ein Zertifikat und verwende im Client nur mail.example.com. Tragen diesen auch alx MX für alle Domains ein, die dein Mailserver verwaltet (also auch für example2.com, example3.com usw. immer mail.example1.com) dann gibt es auch keine Probleme. Und da ich da erst kürzlich war zu geschrieben hatte, verweise ich einfach mal auf meinen anderen Beitrag.

 

[elias5000]

Brauche ich nun für "mail.testdomain.com" ein weiteres Zertifikat?

Ja.

Wenn ja, wie binde ich dieses in Postfix und Dovecot NUR für die eine Domain ein?

Das geht nur, wenn du diese Domain auf dem Mailserver über eine separate IP laufen lässt.
Bei Mail ist es aber am praktischsten, wenn man sich auf einen Hostnamen für den MX festlegt, für diesen dann ein Zertifikat besorgt und für alle Domains, für die dieser zuständig ist, diesen Hostname einträgt. Selbiges gibt für Client-Zugriffe. Einfach alle auf den selben Namen konfigurieren.

Da SMTPS, IMAPS u.s.w. kein SNI unterstützen (Host-Header und SNI sind etwas spezielle Features des HTTP(S)-Protokoll) ist es bei diesen nicht möglich mehrere Zertifikate auf der selben IP/Port-Kombination zu nutzen.

 

[Joe User]

Brauche ich nun für "mail.testdomain.com" ein weiteres Zertifikat?

Ja.

Wenn ja, wie binde ich dieses in Postfix und Dovecot NUR für die eine Domain ein?

Exakt so, wie jedes andere Zertifikat auch und wie es in der jeweiligen Doku beschrieben ist.
Bewährte Konfigurationsbeispiele findest Du in https://www.rootservice.org/howtos/freebsd/hosting_system.html

(Es laufen noch andere Domains über den Webserver bzw. weitere Postfächer auf den Mailserver die nicht verschlüsselt sein müssen)

Das spielt in Deinem Fall keine Rolle.

 

[Depia]

Vielen Dank erstmal für die Antworten.
Das hat mich schon einen Schritt weiter gebracht.

Ich habe nun ein Zertifikat bei GoDaddy für "mail.testdomain.com" erstellt, runtergeladen und auf den Mailserver geschoben.

GoDaddy schreibt:

1. Kopieren Sie Ihre SSL-Zertifikatdatei und die Zertifikatbündeldatei auf Ihren Server.

2. Auf dem Server sollte seit der Erstellung Ihrer Zertifikatanforderung bereits eine Schlüsseldatei vorhanden sein.

Eine Schlüsseldatei ist leider noch nicht vorhanden.
Kann mir jemand dabei behilflich sein und mir einen Tipp geben,
wie ich eine Schlüsseldatei erstelle und mir die nächsten Schritte grob erklären?

Die beiden CRT-Dateien heißen "dfb4dc6dcfe35d41.crt" und "gd_bundle-g2-g1.crt" und liegen im Verzeichnis etc/ssl/

Noch eine weitere Frage: Muss das Zertifikat zwangsläufig im PEM-Format vorhanden sein für Postfix/Dovecot?

 

[elias5000]

Kann mir jemand dabei behilflich sein und mir einen Tipp geben,
wie ich eine Schlüsseldatei erstelle und mir die nächsten Schritte grob erklären?

Den Private Key musstest du erstellen um den Certificate Request zu erzeugen. Wenn du den nicht mehr hast, ist dein Zertifikat wertlos.