Zertifikat erneuert - wie in Dovecot aktualisieren?

tbc233
Ich habe das Zertifikat eines Servers erneuert, die /administrator Oberfläche und phpMyadmin etc. funktionieren alle korrekt und zeigen das korrekte, nicht abgelaufene Zerti an.
Also alle zertifikat Dateien für den Hostnamen des Servers unter /opt/pdadmin/sslcerts sind aktuell.

Leider verwendet aber Dovecot und qmail noch das alte Zertifikat. Wie kann ich Dovecot dazu bringen das aktualisierte Zertifikat zu verwenden? Für die Zukunft vielleicht gleich automatisiert?
tbc233
Ich hab jetzt mal manuell die Zertifikatsdateien zusammenkopiert so wie es in dem dc-install Skript gemacht wird. Nun funktioniert es.

Trotzdem die Frage - ist hier keine automatisierte Aktualisierung der mailrelevanten Zertifikatsdateien vorgesehen?
Daniel Bradler
Eine automatische Aktualisierung gibt es im Moment leider nicht. Wir werden es als Feature-Request aufnehmen.
tbc233
Ok Danke. Wichtiger Punkt denke ich, weil speziell bei Leuten die die dreimonatigen LetsEncrypt Zertifikate einsetzen wirds wohl ebenfalls bald erstmals unruhig werden. Speziell die Iphones meiner Kunden waren hier nach dem Ablauf des Zertis sehr unkooperativ. Auch noch tagelang als das Zerti schon wieder eneuert war.
tbc233
Demnächst laufen die nächsten Zertifikate bei uns ab (https wird dank Skripte ja problemlos erneuert, imaps/pop3s ja leider nicht). Da ich mich schon vor hunderten Anrufern von iphone Usern fürchte, deren Telefone dann das Mailen verweigern, würde ich um eine kurze Doku bitten wie und an welche Stelle die Zertifikatsdateien zusammenkopiert werden müssen, damit auch für die Maildienste die Erneuerung der Zertifikate klappt.
tbc233
Offenbar bin ich der Einzige den das Thema tangiert und bei dem die Telefone heiß laufen wenn mal wieder die mailrelevanten Zertifikate abgelaufen sind.

Wie auch immer, ich habe es nun mit einem Script gelöst, einmal wöchentlich via Cron - Aufruf scriptname.sh "vollständiger.hostname":
code:
1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
#!/bin/bash

H=$1

set -e
set -x

cat /opt/pdadmin/sslcerts/$H-key /opt/pdadmin/sslcerts/$H-cert /opt/pdadmin/sslcerts/$H-cacert > /var/qmail/control/servercert.pem
cat /opt/pdadmin/sslcerts/$H-key /opt/pdadmin/sslcerts/$H-cert > /usr/local/pd-admin2/share/imapd.pem
cat /opt/pdadmin/sslcerts/$H-cacert > /usr/local/pd-admin2/share/imapd.cacert
cat /opt/pdadmin/sslcerts/$H-cacert > /etc/ssl/cert.pem
svc -du /service/dovecot22/
Eisenherz
Danke das Du die Info hier an alle weitergibst.
Wahrscheinlich haben die meisten, wie ich, Zertifikate für 3 Jahre gekauft und werden erst später mit dem Problem konfrontiert.
monderka
Wir hatten letztes Jahr im August den ersten Zertifikatstausch der damals noch 5-jährigen Zertifikate. Ich habe es so gemacht das ich das ci- und das dc- Script einfach nochmal drüber habe laufen lassen. Musste dann aber den Cron-Job natürlich bereinigen und im servercert.pem von /var/qmail/control war die Zeile verschoben zwischen zwei Zertifikatsteilen, was zu einem fehler führt. Nach manueller anpassung hat es dann auch funktioniert.

Ich würde die Mail-Zertifikate bei uns nicht mit letsencrypt machen - zumindest aktuell - um einfach einen sauberen dauerbetrieb zu gewährleisten und nicht alle drei Monate anzufangen. Bei Websites ist das was anderes das ist ja eher unkritisch im Gegensatz zu mail.
eddy_belu
Schon interessant!
Nur wie übergebe ich nun genau den Domainnamen?
./script_name.sh meine.tld, oder "meine.tdl"
Bei mir ist egal was ich da eingebe, der Domainname wird nicht übernommen. Bei mehreren Domains ein wenig wirr. Oder ist es den Email-Client egal, was für ein Zertifikat er bekommt?
tbc233
Bei meinem Ansatz geht es darum das Zertifikat nach einer etwaigen Erneuerung oder Änderung auch für die Maildienste zu aktualiseren. Dieses bezieht sich auf den Hostnamen des Servers, von daher stellt sich die Frage mit "mehreren Domains" nicht.

Das Skript erwartet die Zertifikatsdateien für den Hostnamen des Servers in /opt/pdadmin/sslcerts/ und kopiert die Daten entsprechend für die Maildienste.