# ISPCONFIG 3.1 Fragen zu Lets Encrypt



## die-andis (23. Apr. 2016)

Finde es ja ganz super das ISPCONFIG jetzt Lets Encrypt unterstützt!

Hier nun ein paar Fragen zu dem Thema:
1. kann ich die ServerURL, mit ISPCONFIG Unterstützung, auch per Lets Encrypt absichern (anstatt des selbst generierten SSLCert)?
2. werden die Zertifikate automatisch erneuert?
3. werden die Zertifikate auch gleich für die Postfächer genutzt oder kann ich da was einstellen das sie genutzt werden?

Gruß
Andreas


----------



## mzips (23. Apr. 2016)

1. Ja/Nein Automatisch nicht, kannst aber schnell selber machen LE Key erstellen und denn dann mit Symlink auf die Ispconfig generierten leiten.
2. Ich glaube JA bin mir aber nicht 100% sicher.
3: Ja werden sie.


----------



## die-andis (17. Mai 2016)

Schönen Guten Morgen,
wie es aussieht wird das Lets Encrypt Zertifikat nicht automatisch für die Postfächer benutzt. Hier kommt das Serverzertifikat zum Zug.
Kann ich das Irgendwie ändern?
Gruß
Andreas


----------



## darkness_08 (17. Mai 2016)

Verwendest du Dovecot? Du kannst dort die Konfig anpassen und ein anderes Zertifikat einbinden. Allerdings brauchst du dort ein Zertifikat, was die entsprechenden CN-Einträge enthält.
So habe ich es bei mir umgesetzt. (Allerdings noch LE ohne ISPConfig-Beta)


----------



## die-andis (20. Mai 2016)

ist in naher Zukunft noch geplant das etwas "komfortabler" über Ispconfig machen zu können?


----------



## florian030 (20. Mai 2016)

Wie oft änderst Du denn ein Zertifikat für Mail? Das kann man doch mal im Vorbeigehen von Hand machen.... soweit ich das sehe, kannst Du das via Lets Encrypt eh nciht in jedem Fall automatisieren.


----------



## die-andis (23. Mai 2016)

bin gerade über dem Thema dovecot/postfix anpassen für LE.

Ich würde da jetzt folgende zwei Daten ändern. Meine Frage davor aber noch. Ich habe mehrere Domains auf dem Server laufen. Kann ich da in den Dateien auch mehrere angeben?

# Datei /etc/postfix/main.cf
smtpd_tls_cert_file=/etc/letsencrypt/live/www.meine-domain.de/fullchain.pem
smtpd_tls_key_file=/etc/letsencrypt/live/www.meine-domain.de/privkey.pem

# Datei /etc/dovecot/conf.d/10-ssl.conf
ssl = yes
ssl_cert = </etc/letsencrypt/live/www.meine-domain.de/fullchain.pem
ssl_key = </etc/letsencrypt/live/www.meine-domain.de/privkey.pem


----------



## florian030 (23. Mai 2016)

Du kannst in dem Zertifikat so viele Server haben wie Du willst. Es muss halt nur zum hostname von postfix passen. Und da postfix kein SNI kann (und auch nciht können wird), bringt Dir das nicht.
Ergo: Zertifikat für Postfix nur für den Hostnamen. Wenn Du mehrerer willst, brauchst Du pro hostnamen eine IP.


----------



## die-andis (23. Mai 2016)

ah es dämmert mir langsam 

Folgende Frage muss jetzt ja folglich kommen: 
Die Zertifikatserstellung-/aktualisierung für die ServerURL wir wohl auch nicht, auf absehbare Zeit komfortabel, mit ISPCONFIG möglich sein?


----------



## darkness_08 (24. Mai 2016)

Siehe Post #6.
Entweder richtest du ein Zertifikat für deinen Mailserver ein und diesen tragen deine Kunden bei sich dann entsprechend ein. Oder du erstellst ein Zertifikat, welches alle benötigten Domains enthält. Dieses ist dann anzupassen, wenn eine Domain hinzu kommt oder wegfällt. Kommt natürlich darauf an, wieviele Domains du abdecken willst.
Läuft so zumindest bei mir ohne Probleme.
Ansonsten erstelle dioch ein Request https://git.ispconfig.org/ispconfig/ispconfig3/issues

Gruß


----------



## florian030 (24. Mai 2016)

Zitat von darkness_08:


> Entweder richtest du ein Zertifikat für deinen Mailserver ein und diesen tragen deine Kunden bei sich dann entsprechend ein.


Und wie erklärst Du POstfix, dass der hostname dann auch zum Zertifikat passt?
EIN Zertifikat für EINEN hostnamen (mail.example.com) und gut ist. Es ist nun wirklich nicht nötig, dass imap.kunde.de genau sp geht wie mail.kunde.de


----------



## darkness_08 (24. Mai 2016)

er macht es einfach
Ich habe mail.domain1.de, mail.domain2.de, mail.domain3.de usw. Keine Sonderformen wie imap.* oder pop.*
Das Zertifikat läuft auf den Hostname vom Server und die Domains sind zusätzlich mit angegeben.


----------



## florian030 (24. Mai 2016)

Postfix kann kein SNI.


----------



## darkness_08 (24. Mai 2016)

Vergiss es. Mein Fehler 
Habe geraden einen mächtigen Knoten im Kopf. Ich habe Dovecot mit Postfix verwechselt.
Streicht alles ab guten Morgen. Entschuldigung....

Peinlich


----------

