Hallo Postfix Profis!
Wir sind gerade dabei, einen neuen Mailserver nur für unsere Domain einzurichten und fragen uns, ob wir ein offizielles Zertifikat ausstellen lassen sollen, welches unseren Mailserver gegen über anderen als legitim ausweist und mit dem wir verschlüsselte Verbindungen aufbauen können.
1.) Verwendet ihr offizielle Zertifikate und sollte man das machen?
2.) Muss das ein bestimmter Zertifikat-Typ sein?
3.) Was kostet so ein Zertifikat ungefähr?
4.) Welchen Anbieter könnt ihr empfehlen?
1. ja 2. ein userzertifikat wird nicht helfen. 3. je nach Anbieter nix bis 100.000€ 4. kann ich nix zu sagen, wir sind sozusagen unser eigener Anbieter.
Grüße, Magnus
Hallo Andreas,
1.) Wir verwenden ein offizielles Wildcard-Zertifikat für unsere Domain. Allerdings haben wir in anderen Projekten auch selbstsignierte Zertifikate für Postfix im Einsatz. Bei SMTP zwischen Mailservern ist das in der Regel vollkommen ausreichend.
2.) nein
3.) von kostenlos (startssl.comhttp://startssl.com, letsencrypt.orghttp://letsencrypt.org) bis unverschämt teuer gibt der CA-Markt einiges her. :-)
4.) Mit PSW haben wir ganz gute Erfahrungen gemacht: https://www.psw.net/ssl-zertifikate.cfm
Viele Grüße, Jörn Bredereck
--
****************************** B&W-NetworX GmbH & Co. KG Landstr. 67a 76547 Sinzheim Fon: 07221 996388-8 Fax: 07221 996388-1 http://www.bw-networx.net info@bw-networx.net ----------------------------- AG Mannheim HRA 521208 Pers. haf. Ges.: B&W-NetworX Verwaltungs-GmbH Sitz: 76532 Baden-Baden AG Mannheim HRB Nr.: 202122 Geschäftsführer: Jörn Bredereck Dipl. Ing. Holger Wunsch ******************************
Von: Andreas Wass - Glas Gasperlmair a.wass@glas-gasperlmair.atmailto:a.wass@glas-gasperlmair.at Datum: 6. Oktober 2016 at 10:55:11 An: postfix-users@de.postfix.org postfix-users@de.postfix.orgmailto:postfix-users@de.postfix.org Betreff: Zertifikat für Mailserver
Hallo Postfix Profis!
Wir sind gerade dabei, einen neuen Mailserver nur für unsere Domain einzurichten und fragen uns, ob wir ein offizielles Zertifikat ausstellen lassen sollen, welches unseren Mailserver gegen über anderen als legitim ausweist und mit dem wir verschlüsselte Verbindungen aufbauen können.
1.) Verwendet ihr offizielle Zertifikate und sollte man das machen?
2.) Muss das ein bestimmter Zertifikat-Typ sein?
3.) Was kostet so ein Zertifikat ungefähr?
4.) Welchen Anbieter könnt ihr empfehlen?
-- vg, Andi
Hallo zusammen,
Am Donnerstag, 6. Oktober 2016 schrieb Jörn Bredereck:
3.) von kostenlos (startssl.comhttp://startssl.com, letsencrypt.orghttp://letsencrypt.org) bis unverschämt teuer gibt der CA-Markt einiges her. :-)
von StartCom (und WoSign) sollte man aktuell die Finger lassen:
Gruß, Gregor
Am 06.10.2016 um 17:47 schrieb Andreas Wass - Glas Gasperlmair a.wass@glas-gasperlmair.at:
Hallo Postfix Profis!
Wir sind gerade dabei, einen neuen Mailserver nur für unsere Domain einzurichten und fragen uns, ob wir ein offizielles Zertifikat ausstellen lassen sollen, welches unseren Mailserver gegen über anderen als legitim ausweist und mit dem wir verschlüsselte Verbindungen aufbauen können.
1.) Verwendet ihr offizielle Zertifikate und sollte man das machen?
ja
2.) Muss das ein bestimmter Zertifikat-Typ sein?
Du hast 2 Dokumente, den private und den public key zum Zertifikat
Der Typ hängt u.U. auch vom verwendeten System ab.
3.) Was kostet so ein Zertifikat ungefähr?
auf dem Server läuft: 1 domain (wie z.Bsp. mail.beispiel.net), da reicht ein einfaches Zertifikat und das kriegst oft kostenlos mehrere subdomains, dann brauchst Du ein Wildcard Certificat (ca. 120Euro/Jahr) ansonsten brauchst Du ein Multidomain Zertifikat ab ca. 40Euro/Jahr
die Preise hängen vom Anbieter ab.
4.) Welchen Anbieter könnt ihr empfehlen?
ich hab zwischenzeitlich alles bei gandi.net
Gruss Matthias
Am .10.2016, 10:47 Uhr, schrieb Andreas Wass - Glas Gasperlmair a.wass@glas-gasperlmair.at:
1.) Verwendet ihr offizielle Zertifikate und sollte man das machen?
Ich verwende zur Zeit kostenlose Zertifikate von Let's Encrypt
2.) Muss das ein bestimmter Zertifikat-Typ sein?
Domainzertifikat sollte schon sein ;)
3.) Was kostet so ein Zertifikat ungefähr?
Bei Let's Encrypt: nix
4.) Welchen Anbieter könnt ihr empfehlen?
Kann ich davon ausgehen, dass diesen Zertifikaten von Let's Encrypt auch vertraut wird, oder bekommt man eine Warnmeldung in den gängigen Browsern, wenn man auf eine Seite geht, welche so ein Zertifikat verwendet?
vg, Andi
Am 06.10.2016 um 13:04 schrieb Philipp Resch:
Am .10.2016, 10:47 Uhr, schrieb Andreas Wass - Glas Gasperlmair a.wass@glas-gasperlmair.at:
1.) Verwendet ihr offizielle Zertifikate und sollte man das machen?
Ich verwende zur Zeit kostenlose Zertifikate von Let's Encrypt
2.) Muss das ein bestimmter Zertifikat-Typ sein?
Domainzertifikat sollte schon sein ;)
3.) Was kostet so ein Zertifikat ungefähr?
Bei Let's Encrypt: nix
4.) Welchen Anbieter könnt ihr empfehlen?
On 2016-10-06 13:38:53, Andreas Wass - Glas Gasperlmair wrote:
Kann ich davon ausgehen, dass diesen Zertifikaten von Let's Encrypt auch vertraut wird, oder bekommt man eine Warnmeldung in den gängigen Browsern, wenn man auf eine Seite geht, welche so ein Zertifikat verwendet?
Die gängigen Zertifikats-Stores vertrauen LetsEncrypt. Du musst nur beachten, dass du ein sogenanntes Intermediate-Zertifikat brauchst. Im Postfix müsstest du das dann so konfigurieren:
$ cat server.crt chain.crt > server_with_chain.crt $ sed -i "/smtpd_tls_cert_file/c smtpd_tls_cert_file=/path/to/server_with_chain.crt" /etc/postfix/main.cf
* Andreas Wass - Glas Gasperlmair a.wass@glas-gasperlmair.at:
Kann ich davon ausgehen, dass diesen Zertifikaten von Let's Encrypt auch vertraut wird,
Ja
oder bekommt man eine Warnmeldung in den gängigen Browsern,
Nein.
wenn man auf eine Seite geht, welche so ein Zertifikat verwendet?
Du machst SMTP im Browser? -- [*] sys4 AG
http://sys4.de, +49 (89) 30 90 46 64 Schleißheimer Straße 26/MG, 80333 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Marc Schiffbauer Aufsichtsratsvorsitzender: Florian Kirstein
Am 06.10.2016 um 20:58 schrieb Ralf Hildebrandt r@sys4.de:
- Andreas Wass - Glas Gasperlmair a.wass@glas-gasperlmair.at:
Kann ich davon ausgehen, dass diesen Zertifikaten von Let's Encrypt auch vertraut wird,
Ja
oder bekommt man eine Warnmeldung in den gängigen Browsern,
Nein.
wenn man auf eine Seite geht, welche so ein Zertifikat verwendet?
Du machst SMTP im Browser?
Webmail Interface würd sich doch anbieten u.U. ;-) Gruss Matthias
Am 06.10.2016 um 14:27 schrieb Matthias Schmidt:
Am 06.10.2016 um 20:58 schrieb Ralf Hildebrandt r@sys4.de:
- Andreas Wass - Glas Gasperlmair a.wass@glas-gasperlmair.at:
Kann ich davon ausgehen, dass diesen Zertifikaten von Let's Encrypt auch vertraut wird,
Ja
oder bekommt man eine Warnmeldung in den gängigen Browsern,
Nein.
wenn man auf eine Seite geht, welche so ein Zertifikat verwendet?
Du machst SMTP im Browser?
Webmail Interface würd sich doch anbieten u.U. ;-) Gruss Matthias
So ihr IT-Profis da draußen, vielen Dank für eure Antworten, ihr habt mir wie immer sehr geholfen mit euren Antworten :-)
vg, Andi
Bei Let's Encrypt: nix
4.) Welchen Anbieter könnt ihr empfehlen?
Ich verwende seit Jahren auf meinem Server ein Zertifikat von cacert.org. So weit mir bekannt der einzige Anbieter von kostenlosen Wildcard-Zertifikaten. Einziger Nachteil: Deren Root-Zertifikat ist in den seltensten Fällen vorinstalliert, Debian hat es auch kürzlich rausgeworfen. Für Mailserver aber egal, da reicht im Prinzip auch ein self-signed Zertifikat.
Das mit den Zertifizierungsstellen halte ich ohnehin für Schwachsinn, warum sollte ich ausgerechnet z.B. einer "Türktrust" trauen? Selbst Google-Zertifikate wurden schon gefälscht. Viel sinnvoller wäre es, wenn Anbieter, bei denen es auf Sicherheit ankommt (z.B. Banken) ihren Kunden den Fingerprint auf sicherem Wege zukommen lassen (z.B. mit den Zugangsdaten für das Online-Banking).
On Thu, October 6, 2016 19:40, Joachim Fahrner wrote:
Bei Let's Encrypt: nix
4.) Welchen Anbieter könnt ihr empfehlen?
Ich verwende seit Jahren auf meinem Server ein Zertifikat von cacert.org. So weit mir bekannt der einzige Anbieter von kostenlosen Wildcard-Zertifikaten.
ich habe eine Quelle erschlossen, welche den genannten Nachteil nicht haben; siehe hier:
https://www.lowendtalk.com/discussion/81026/free-alphassl-wildcard-and-regul...
bin durch Zufall dorthin "gestolpert"
Für Mailserver aber egal, da reicht im Prinzip auch ein self-signed Zertifikat.
das reicht im Prinzip grundsätzlich; das Zertifikat hat keinen Einfluß auf die Verschlüsselung; einzig auf die Vertrauensstellung;
Das mit den Zertifizierungsstellen halte ich ohnehin für Schwachsinn, warum sollte ich ausgerechnet z.B. einer "Türktrust" trauen?
'SSL Everywhere' läßt grüßen ...
Viel sinnvoller wäre es, wenn Anbieter, bei denen es auf Sicherheit ankommt (z.B. Banken) ihren Kunden den Fingerprint auf sicherem Wege zukommen lassen (z.B. mit den Zugangsdaten für das Online-Banking).
nicht wirklich; aber hier gehen die Meinungen konträr auseinander;
Grüße, Walter
Am 10.10.2016 um 14:09 schrieb Walter H.:
ich habe eine Quelle erschlossen, welche den genannten Nachteil nicht haben; siehe hier:
https://www.lowendtalk.com/discussion/81026/free-alphassl-wildcard-and-regul...
bin durch Zufall dorthin "gestolpert"
Das sieht aber sehr dubios aus.
das reicht im Prinzip grundsätzlich; das Zertifikat hat keinen Einfluß auf die Verschlüsselung; einzig auf die Vertrauensstellung;
Ist aber lästig, wenn der Aufrufer einer Webseite erstmal eine fette Warnung bekommt, dass die Seite nicht vertauenswürdig sei.
On 06.10.16 19:40 Joachim Fahrner wrote:
Für Mailserver aber egal, da reicht im Prinzip auch ein self-signed Zertifikat.
Was soll das dann bringen? Verschlüsselten Transport zu einer nicht vertrauenswürdigen Endstelle?
Oder stehe ich auf dem Schlauch.
Johannes
Am 10.10.2016 um 21:46 schrieb Johannes Kastl:
Was soll das dann bringen? Verschlüsselten Transport zu einer nicht vertrauenswürdigen Endstelle?
Na zum Beispiel, dass die NSA nicht mitlesen kann.
Am 11.10.2016 um 06:35 schrieb J. Fahrner:
Am 10.10.2016 um 21:46 schrieb Johannes Kastl:
Was soll das dann bringen? Verschlüsselten Transport zu einer nicht vertrauenswürdigen Endstelle?
Na zum Beispiel, dass die NSA nicht mitlesen kann.
Ich bin davon überzeugt, das Geheimdienste alles mitlesen können, wenn sie das wollen - Infrastrukturen und entsprechende Mitarbeiter hierfür stehen denen in jedem Fall zur Verfügung - auch wenn dies ein gewisser Aufwand bedeutet ... Erschweren kann man das höchstens noch durch Mailverschlüsselungen mit PGP und co ....
Ich selbst habe ein self-signed Zertifikat für meinen MX im Einsatz.
Grüsse, Markus
Am 11.10.2016 um 06:35 schrieb J. Fahrner:
Am 10.10.2016 um 21:46 schrieb Johannes Kastl:
Was soll das dann bringen? Verschlüsselten Transport zu einer nicht vertrauenswürdigen Endstelle?
Willst du damit sagen, dass dein Postfix TLS-Verbindungen zu/von MTAs mit selbstsignierten Zertifikaten ablehnt? Falls nein: Welchen Unterschied macht es dann, ob die betreffenden MTAs von einer bekannten CA zertifiziert wurden? Viele Grüße, Jörn Bredereck
Am 11.10.2016 um 12:22 schrieb Jörn Bredereck:
Am 11.10.2016 um 06:35 schrieb J. Fahrner:
Am 10.10.2016 um 21:46 schrieb Johannes Kastl:
Was soll das dann bringen? Verschlüsselten Transport zu einer nicht vertrauenswürdigen Endstelle?
Willst du damit sagen, dass dein Postfix TLS-Verbindungen zu/von MTAs mit selbstsignierten Zertifikaten ablehnt? Falls nein: Welchen
Nein. Hatte diesbezüglich auch noch keinerlei Probleme. Ich bin lediglich der Meinung, das Geheimdienste "entschlüsseln" können, wenn diese das wirklich wollen....
Unterschied macht es dann, ob die betreffenden MTAs von einer bekannten CA zertifiziert wurden?
Für mich keinen erkennbaren Unterschied, sehe sogar eher einen Sicherheitsaspekt in "self-signed", denn ich werde meine Keys zur Entschlüsselung bestimmt nicht an NSA und & Co. verkaufen und auch keine Hintertüren einbauen.
Viele Grüße, Jörn Bredereck
Am 11.10.2016 um 13:09 schrieb Markus Gonzalez:
Ich bin lediglich der Meinung, das Geheimdienste "entschlüsseln" können, wenn diese das wirklich wollen....
Können Sie nicht. http://www.heise.de/security/artikel/SSH-SSL-IPsec-alles-kaputt-kann-das-weg...
Und selbst wenn es Ihnen im Einzelfall gelingen würde, kann man damit immer noch keine Massenüberwachung realisieren.
Für mich keinen erkennbaren Unterschied, sehe sogar eher einen Sicherheitsaspekt in "self-signed", denn ich werde meine Keys zur Entschlüsselung bestimmt nicht an NSA und & Co. verkaufen und auch keine Hintertüren einbauen.
Auch bei einem, durch eine CA zertifizierten Zertifikat, verlässt dein private Key niemals deinen eigenen Rechner. Ein CSR enthält nur den public Key. Sicherheitstechnisch bringt ein selbst signieren keinen Vorteil.
Am 11.10.2016 um 13:23 schrieb Jochen Fahrner:
Am 11.10.2016 um 13:09 schrieb Markus Gonzalez:
Ich bin lediglich der Meinung, das Geheimdienste "entschlüsseln" können, wenn diese das wirklich wollen....
Können Sie nicht. http://www.heise.de/security/artikel/SSH-SSL-IPsec-alles-kaputt-kann-das-weg...
Und selbst wenn es Ihnen im Einzelfall gelingen würde, kann man damit immer noch keine Massenüberwachung realisieren.
Ich fahre hier den Ansatz: Lieber mehr verschlüsseln als weniger. Selbst wenn irgendeine Instanz es irgendwie mitlesen könnte, würde es im mindesten Fall Aufwand bedeuten. Und selbst wenn immer von "unbegrenzten Resourcen" die Rede ist - komplett unbegrenzt sind die auch nicht. Also ist etwas mehr Aufwand bei vielen Kleinigkeiten auf einmal großer Aufwand. Die Hoffnung ist "indirekter DDoS" :D Und das einmalige einrichten von TLS ist auf Postfix ja nun wirklich kein Hexenwerk, sei es ein Selfsigned oder ein "vertrauenswürdiges" Zertifikat. Wie vertrauenswürdig die sind haben verschiedene CAs ja die letzten Monate eindrucksvoll bewiesen... Tatsächlich vertraue ich Let's Encrypt mittlerweile deutlich mehr als irgendeinem WoSign/StartCom...
Für mich keinen erkennbaren Unterschied, sehe sogar eher einen Sicherheitsaspekt in "self-signed", denn ich werde meine Keys zur Entschlüsselung bestimmt nicht an NSA und & Co. verkaufen und auch keine Hintertüren einbauen.
Auch bei einem, durch eine CA zertifizierten Zertifikat, verlässt dein private Key niemals deinen eigenen Rechner. Ein CSR enthält nur den public Key. Sicherheitstechnisch bringt ein selbst signieren keinen Vorteil.
Am 11.10.2016 um 11:41 schrieb Markus Gonzalez:
Am 11.10.2016 um 06:35 schrieb J. Fahrner:
Am 10.10.2016 um 21:46 schrieb Johannes Kastl:
Was soll das dann bringen? Verschlüsselten Transport zu einer nicht vertrauenswürdigen Endstelle?
Na zum Beispiel, dass die NSA nicht mitlesen kann.
Ich bin davon überzeugt, das Geheimdienste alles mitlesen können, wenn sie das wollen - Infrastrukturen und entsprechende Mitarbeiter hierfür stehen denen in jedem Fall zur Verfügung - auch wenn dies ein gewisser Aufwand bedeutet ... Erschweren kann man das höchstens noch durch Mailverschlüsselungen mit PGP und co ....
Ich selbst habe ein self-signed Zertifikat für meinen MX im Einsatz.
Grüsse, Markus
Ich bin ueberzeugt davon dass Aliens uns schon immer abhoeren *g
Butter bei die Fische, man richtet und wartet einen Mailserver nach "Stand der Technik", der Rest ist entweder bekannt oder Spekulation...
Best Regards MfG Robert Schetterer
Am 10.10.2016 um 21:46 schrieb Johannes Kastl:
On 06.10.16 19:40 Joachim Fahrner wrote:
Für Mailserver aber egal, da reicht im Prinzip auch ein self-signed Zertifikat.
Was soll das dann bringen? Verschlüsselten Transport zu einer nicht vertrauenswürdigen Endstelle?
Oder stehe ich auf dem Schlauch.
Ist für Dich jemand vertrauenswürdig weil er sich irgendwo ein Zertifikat für € 10,- gekauft hat?
Am 10.10.2016 um 21:46 schrieb Johannes Kastl:
Was soll das dann bringen? Verschlüsselten Transport zu einer nicht vertrauenswürdigen Endstelle?
Soviel zum Thema "vertrauenswürdig": https://www.heise.de/security/meldung/Zertifikats-Klau-Fatale-Sehschwaeche-b...
On Wed, October 19, 2016 19:58, J. Fahrner wrote:
Am 10.10.2016 um 21:46 schrieb Johannes Kastl:
Was soll das dann bringen? Verschlüsselten Transport zu einer nicht vertrauenswürdigen Endstelle?
Soviel zum Thema "vertrauenswürdig": https://www.heise.de/security/meldung/Zertifikats-Klau-Fatale-Sehschwaeche-b...
das ist aber nur bei HTTP(S) kritisch; bei SMTP(S) irrelevant, zumal niemand die Zertifikate von Mailservern welche als MX eingetragen sind, je direkt überprüft; einzig beim eigentlichen SMTP-Server, welchen man beim Mail-Client eingestellt hat, hat man als Benutzer eine Möglichkeit das Zertifikat überhaupt zu Gesicht zu bekommen ...
beim Zugriff via POP3(S) oder IMAP(S) auf sein beim ISP oder sonst einem Hoster gehosteten Postfach, würde einem potentiellen Angreifer einem auf die Art "gewonnenem" Zertifikat überhaupt nicht gedient sein, weil Du nie damit in Berührung kommst ...
Hallo Walter,
Am Mittwoch, 19. Oktober 2016 schrieb Walter H.:
einzig beim eigentlichen SMTP-Server, welchen man beim Mail-Client eingestellt hat, hat man als Benutzer eine Möglichkeit das Zertifikat überhaupt zu Gesicht zu bekommen ...
... und lässt sich dort für einen Man-in-the-Middle Angriff auf die Clients des Domain-Inhabers verwenden.
beim Zugriff via POP3(S) oder IMAP(S) auf sein beim ISP oder sonst einem Hoster gehosteten Postfach, würde einem potentiellen Angreifer einem auf die Art "gewonnenem" Zertifikat überhaupt nicht gedient sein, weil Du nie damit in Berührung kommst ...
Auch hier ist MitM möglich.
In beiden Fällen muß ich nur zusätzlich Einfluß auf den DNS-Resolver des Opfers nehmen können, was bei genügend krimineller Energie kein Hexenwerk ist...
Gruß, Gregor
Hallo Gregor,
On Thu, October 20, 2016 07:57, Gregor Hermens wrote:
In beiden Fällen muß ich nur zusätzlich Einfluß auf den DNS-Resolver des Opfers nehmen können,
was ohne entsprechende Kollateralschäden schon mal nicht möglich ist;
was bei genügend krimineller Energie kein Hexenwerk ist...
doch, weils in der Menge derer, die diesen Resolver verwenden, garantiert mind. einen gibt, dem es verhext vorkommt und mit dem Besen andere warnt ;-)
oder anders: ein MITM Angriff auf die Art nur auf EINE ganz bestimmte Person ist ausgeschlossen;
hat jemand seine eigene Domain, und betreibt zusätzlich seinen eigenen Resolver sowie auch die Athoritativen DNS Server der Domain, ist ein derartiger MITM-Angriff das kleinere Problem ...
Grüße, Walter
* Andreas Wass - Glas Gasperlmair a.wass@glas-gasperlmair.at:
Hallo Postfix Profis!
Wir sind gerade dabei, einen neuen Mailserver nur für unsere Domain einzurichten und fragen uns, ob wir ein offizielles Zertifikat ausstellen lassen sollen, welches unseren Mailserver gegen über anderen als legitim ausweist und mit dem wir verschlüsselte Verbindungen aufbauen können.
1.) Verwendet ihr offizielle Zertifikate und sollte man das machen?
Wir verwenden eines, und wenn man das machen kann, warum sollte man nicht?
2.) Muss das ein bestimmter Zertifikat-Typ sein?
3.) Was kostet so ein Zertifikat ungefähr?
Bei letsencrypt.org nix.
4.) Welchen Anbieter könnt ihr empfehlen?
letsencrypt.org
Lieber Ralf,
On 06.10.16 13:55 Ralf Hildebrandt wrote:
4.) Welchen Anbieter könnt ihr empfehlen?
letsencrypt.org
Da die Liste dazu nix ausspuckt: Klappt das Bereitstellen eines Zertifikats von letsencrypt nur für einen Mailserver? Ich vermute ja, da du es sonst wohl kaum empfehlen würdest...
Hat jemand ein gutes Tutorial? Ich frage mich gerade, wie das mit dem Zertifikat erneuern geht, wenn kein Webserver läuft. Oder ob der im offiziellen Client eingebaute Server genommen wird. Oder oder oder...
Vielen Dank!
Johannes
Hallo Johannes,
ja das klappt wunderbar, nutze ich auch. Schau mal hier: https://certbot.eff.org/ Das ist der "offiziele" Client. Unter CentOS 7 ist der aus dem EPEL Repository erhältlich. Zwar nutze ich nginx und brauche daher nicht den standalone webserver von certbot aber das Vorgehen ist das gleiche. Ohne es selbst getestet zu haben: https://thomas-leister.de/sicherer-mailserver-dovecot-postfix-virtuellen-ben... Hier gibt es auch einen Abschnitt zum beantragen von Zertifikaten mit dem standalone Webserver.
Denk dran die Firewall zu öffnen mit der standalone Webserver auch seinen Dienst verrichten kann.
Gruß, Lukas
Am 10.10.2016 um 21:43 schrieb Johannes Kastl:
Lieber Ralf,
On 06.10.16 13:55 Ralf Hildebrandt wrote:
4.) Welchen Anbieter könnt ihr empfehlen?
letsencrypt.org
Da die Liste dazu nix ausspuckt: Klappt das Bereitstellen eines Zertifikats von letsencrypt nur für einen Mailserver? Ich vermute ja, da du es sonst wohl kaum empfehlen würdest...
Hat jemand ein gutes Tutorial? Ich frage mich gerade, wie das mit dem Zertifikat erneuern geht, wenn kein Webserver läuft. Oder ob der im offiziellen Client eingebaute Server genommen wird. Oder oder oder...
Vielen Dank!
Johannes
-----Ursprüngliche Nachricht----- Von: postfix-users [mailto:postfix-users- bounces+postfix=eisenhuth.net@de.postfix.org] Im Auftrag von Johannes Kastl Gesendet: Montag, 10. Oktober 2016 21:43 An: postfix-users@de.postfix.org Betreff: Letsencrypt zertifikat für Mailserver (was: Zertifikat für Mailserver)
Hat jemand ein gutes Tutorial? Ich frage mich gerade, wie das mit dem Zertifikat erneuern geht, wenn kein Webserver läuft. Oder ob der im offiziellen Client eingebaute Server genommen wird. Oder oder oder...
Hallo Johannes,
ich verwende acme.sh in Verbindung mit der DNS-Überprüfung.
https://github.com/Neilpang/acme.sh
Freundliche Grüße
Marco Eisenhuth
participants (18)
-
Alex JOST -
Andreas Wass - Glas Gasperlmair -
Gregor Hermens -
J. Fahrner -
Joachim Fahrner
-
Jochen Fahrner
-
Johannes Kastl -
Jörn Bredereck -
Lukas Malkmus -
Magnus Wagner -
Marco Dickert -
Marco Eisenhuth -
Markus Gonzalez -
Matthias Schmidt -
Philipp Resch -
Ralf Hildebrandt -
Robert Schetterer -
Walter H.