Zertifikate von Nginx Proxy Manager

h725rk

Hallo,

ich plane aktuell einen Mailcow-Server auf meinem Server zu installieren.
Vor der Mailcow habe ich einen Nginx Proxy Manager, da noch ein paar andere Dienste dahinter sind.
Ich habe mir auch folgende Artikel durchgelesen:
https://docs.mailcow.email/post_installation/firststeps-ssl/#how-to-use-your-own-certificate
https://docs.mailcow.email/post_installation/reverse-proxy/r_p/#important-information-please-read-them-carefully

Ich habe diese Artikel auch verstanden, aber was ich nicht verstehe ist, wie bekomme ich die 3 Zertifikate mail.domain.de, autodiscover.domain.de und autoconfig.domain.de in einem Zertifikat unter?
Ich habe das schon ausprobiert, dass alle 3 öffentliche Keys mit CA-Zertifikat in der Datei chain.pem und die PrivateKeys in der key.pem sind und die Admin-Seite war nicht mehr erreichbar. Habe danach nur das Zertifikat von mail.domain.de benutzt und es ging. Ich verstehe, dass man nicht mehrere Zertifikate in einer Datei packt, aber wie kann ich das Problem mit den 3 Zertifikaten lösen oder bin ich da auf dem Holzweg?

Im Hintergrund lasse ich die beiden Subdomain autodiscover.domain.de und autoconfig.domain.de auf die Subdomain mail.domain.de zeigen.

Schönen Gruß,
Robert

esackbauer

h725rk wie bekomme ich die 3 Zertifikate mail.domain.de, autodiscover.domain.de und autoconfig.domain.de in einem Zertifikat unter?

Einfach alle die Hostnamen bei der Erstellung des Zertifikats im NPM eingeben. Und mail.domain.de zuerst.

h725rk

Ahh ok, verstanden.
Durch den Nginx Proxy Manager wird mail.h725rk.de erst an dritter Stelle angegeben. Das ist ja nicht das Problem, solange die DNS-Namen drin sind.
Von den 4 Dateien (cert1.pem, chain1.pem, fullchain1.pem und privkey1.pem) muss ich ja rein theoretisch die fullchain1.pem als chain.pem und die privkey1.pem als key.pem in den Ordner /data/asset/ssl kopieren. Die drei Dienste neustarten und dann sollte das Zertifikat angenommen werden. Oder sehe ich das falsch?

esackbauer

h725rk Das ist ja nicht das Problem, solange die DNS-Namen drin sind.

Doch, kann schon ein Problem sein. Manche alte SMTP server können nicht SNI und damit erscheint für sie das zertifikat ungültig, weil die nur den ersten “Hauptnamen” auswerten können.
Ja, die 2 Dateien genügen.

h725rk

Hmm, dann muss ich schauen, wie ich das anders löse, da ich die Reihenfolge so vorgegeben habe, wie du das gesagt hast.
mail, autodiscover, autoconfig. Leider wurde autodiscover als erstes benutzt.

h725rk

OK, ich muss leider den Certbot direkt installieren und das Cert dann so erstellen.
Das nehme ich mir aber erst nächste Woche vor.

Danke für die Hilfe.

h725rk

Ich habe mich doch jetzt damit auseinander gesetzt.
Ich werde einen angepassten Certbot benutzen, da ich bei Netcup bin. Der Certbot ist in einem Docker Container.
Der erstellt das Zertifikat auch richtig, so das der CN=mail.domain.de ist.
Die Zertifikate kopiere ich per Hand.

Für den Renewal-Prozess habe ich ein Script erstellt, was den Renewal-Prozess nach 65 Tagen durchführt. Neue Zertifikate anfordnern, kopieren der Chain und des PrivateKeys und dann neustarten der Docker Container.

h725rk

Update: Schaue mir gerade das ACME-Protokoll an:
https://github.com/acmesh-official/acme.sh

h725rk

Ich habe jetzt einige Zeit mit dem ACME-Protokoll gearbeitet.
Ja, ich weiß, dass ist in mailcow integriert. Leider funktioniert dies nicht mit einem Proxy Manager davor.
Also habe ich selber das ACME-Protokoll eingerichtet und es funktioniert besser als der Certbot. Weiterer Vorteil, es benötigt keine weiteren Paket, wie der Certbot.