# ISPConfig und die Sache mit dem Zertifikat



## Spoiler (5. Mai 2008)

Guten Tach erstmal,

ich habe grad meinen Root-Server neu aufgesetzt und mich dazu entschieden, ISPConfig einzusetzen.
Ich kenne ISPConfig von meiner Arbeit her und bin/war bis jetzt eigentlich sehr begeistert davon.

Wie in anderen Beiträgen auch zu lesen ist, ärgert mich die Sache mit den Zertifikaten auch ganz ordentlich.
Ständig irgend welche Meldungen wegzuklicken kann unmöglich Sinn der Sache sein.

Um es vorweg zu nehmen: Bis lang habe ich auf meinem Server VHCS2 betrieben und musste da keine Meldungen wegklicken!

Da ich mich mit Zertifikaten auch nicht wirklich auskennen, suche ich hier nun die Hilfe von Experten.

Wo genau liegen also die Probleme:

- ISPConfig Web ... also über Port :81
- Mail-User
- Webmail (Uebimiau)
- Postfix beim versenden von Mails

Ob ISPConfig eine Meldung bringt, stört nur mich, da ich als Admin da alleine drauf zugreife.

Mail-User und Webmail hingegen stört alle, die drauf zugreifen ... und das sind ein paar mehr.
Gleiches gilt für Postfix ... also dem Versenden von Mails via MailClient (Outlook oder Thunderbird).


Es kommt die Meldung, dass das Zertifikat von "snakeoil.dom" käme. Kommt es natürlich nicht ... kommt von mir 

Ok, also habe ich das Zertifikat mal neu erstellt nach diesem hier: http://www.howtoforge.com/forums/showpost.php?p=358&postcount=4

Jetzt kommt mein Zertifikat von "" ==> naja, ist immer noch nicht das, was wirklich sinnvoll ist.

Wie bekomme ich denn nun mein Zertifikat von meiner Seite??

Weiterhin habe ich noch nicht ganz verstanden, was es mit den SSL-Einträgen im Web zu tun hat.
Da gibt es ja auch den Punkt "SSL für dieses Web aktivieren" und dann taucht der Reiter "SSL" auf, wo man Daten eingeben kann.

Nun, ich habe für kein Web SSL aktiv ... trotzdem kommen oben genannte Meldungen.

Nun bin ich also etwas ratlos, was nicht heissen soll, dass ich tatenlos bin.
Auf der anderen Seite möchte ich meinen Server natürlich nicht lahmlegen.

Ich habe noch folgendes gefunden: http://www.zeeman.de/computer/rootserver/rootserver-serie-vi-die-eigene-ca-fur-web-mail-und-ftp

Bin mir allerdings nicht ganz sicher, ob mir das weiterhilft.


Meine Bitte: 
Kann mir jemand in Ruhe und für DAU's verständlich erklären, was es mit diesen Zertifikaten auf sich hat, wo ich die erstellen kann (ohne Kohle zu bezahlen), wie ich sie verwende und wo ich welche Daten eintrage?

Oder Kurz: Was kann ich gegen diese Meldungen noch unternehmen bzw. wie diese beseitigen?

Vielen Dank im Voraus!

Grüße

Spoiler


----------



## Till (5. Mai 2008)

Da gibt es 2 Möglichkeiten:

1) Wähle bei der Installation http und nicht https aus.
2) Installiere ein signiertes Zertifikat.

Das Ganze hat mit ISPConfig selbst erstmal rein garnichts zu tun, das ist mit jedem SSL gesicherten Server das gleiche, oder aber Du schaltest halt SSL aus, so wie es vermutlich dein VHCS macht, da ich nicht davon ausgehe dass sie pro Anwender ca. 100 EUR pro Jahr für ein eigenes SSL Zertifikat ausgeben.



> - ISPConfig Web ... also über Port :81
> - Mail-User
> - Webmail (Uebimiau)
> - Postfix beim versenden von Mails


es liegt an keinem dieser Punkte. Die Meldung kommt auch nicht von ISPConfig sondern vom Apache Webserver.

Eine Möglichkeit ein halbwegs akzeptiertes SSL Zertifikat kostenlos zu erhalten, ist z.B. cacert:

http://www.cacert.org/
http://wiki.cacert.org/wiki/GermanCommunity

Du musst für diese Zertifikate aber trotzdem ein root Zertifikat importieren, wie es auf den cacert Seiten beschrieben ist. Die Zertifikate des Servers auf port 81 liegen in den Verzeichnissen unter /root/ispconfig/httpd/.....


----------



## Spoiler (5. Mai 2008)

Erstmal vielen Dank für die schnelle Antwort.

Sowas hatte ich jetzt schon vermutet. 

Da ich bei der Installation von ISPConfig *https* ausgewählt habe, wird natürlich SSL benutzt.

Wie kann ich das denn nachträglich ausschalten, ohne ISPConfig neu zu installieren?


----------



## Till (5. Mai 2008)

Schau mal hier nach:

http://www.howtoforge.com/forums/showthread.php?t=3732


----------



## Spoiler (5. Mai 2008)

Meine Fresse bist du schnell 

Danke für den Tip ... werd ich jetzt mal auf meinem Testsystem ausprobieren 

Vielen vielen Dank.

Spoiler


----------



## Spoiler (9. Mai 2008)

so ... die Anleitung hat soweit funktioniert ... die Web-Seiten kommen jetzt ohne Zertifikat aus.

Das freut schonmal 

Jetzt habe ich noch das Problem, dass auch der Mail-Server ständig wegen dem zertifikat meckert.
Ich kann mit Thunderbird keine Mail verschicken, ohne eine Warnung zu bekommen.

Das nervt auch ganz gewaltig.

Gibts da auch noch eine Möglichkeit, das zu beenden??

Vielen Dank schonmal im Voraus.

Spoiler


----------



## Till (9. Mai 2008)

Nimm den haken bei gesicherter Anmeldung in Thunderbird raus.


----------



## Spoiler (10. Mai 2008)

Jupp ... meine eigene Schuld ... hab immer beim IMap-Server geschaut, wo das schon draußen war.

Sorry


----------



## Spoiler (16. Mai 2008)

Hi, ich bins wiedermal.

Also von HTTPS auf HTTP umzustellen hat super funktioniert.
Abschließend bleibt aber eine Frage offen, die wahrscheinlich weniger mit ISPConfig zu tun hat, als mehr mit dem Apache und Zertifikaten selber.

Wie ich ja schon sagte, meckert er beim Zertifikat daran rum, dass das Zertifikat nicht von meiner Domain kommt, sondern von "snakeoil.dom" oder, nach dem ich das Zertifikat neu erstellt habe, von "".

Meine Idee wäre jetzt, dem Server beizubringen, dass er da einfach meine Domain eintragen sollte, sodaß das Zertifikat von "myDomain" kommt.

Da wäre dann die erste Frage: Wie geht das?

Das Zertifikat neu erstellen (mit im Beitrag oben genanntem Link) führt zu "".

Die nächste Frage wäre dann:

Der Mail-Server meckert ja auch deswegen. Nun habe ich aber mehrere Domains, die den Mailserver nutzen um Mails zu versenden.
Kann ich dem Zertifikat dann auch beibringen, von welcher Domain es grade kommt??

Es wäre ja wieder am Plan vorbei, wenn ich User der Domain "test.de" bin und das Zertifikat von "mydomain" kommt.

Dann habe ich wieder das gleiche Problem und die gleiche Warnmeldung.

Gibt es da eine Lösung?


----------



## juergen71 (22. Juni 2008)

Du kannst dir für jede Domain ein SSL Zertifikat kaufen, hier zb: http://www.verisign.de/ssl/

Kostet ein paar Euro, aber so wie du dir das vorstellst funktioniert es nicht, entweder kaufen oder kein SSL, dazwischen gibt es nichts.


----------



## killozap (3. Nov. 2008)

Bei https kann ich das gar nicht verstehen... Wenn man das erste Mal auf ipsconfig surft, so kommt die Meldung. Dann kann ich das Zertifikat herunterladen und als dauerhaftes Zertifikat speichern, dann motzt Firefox nie mehr bei diesem Zertifikat. Man sollte nur bei mehreren ISP-Config-Installationen darauf achten dass sich die Angaben in dem getürkten Zertifikat (Snake Oil...) unterscheiden, ansonsten bekommt man Ärger...


----------



## fischer-ttd (26. Feb. 2009)

*Eigene SSL-Zertifikate verwenden*

Der Beitrag ist zwar schon etwas älter..aber dennoch gibt es die Möglichkeit Zertifikate einer öffentlichen Stelle für https://ISPconfig:81 zu benutzen.

Sollte dafür noch Bedarf bestehen, so kann ich gerne eine Anleitung schreiben.


Schöne Grüße

Thomas


----------

