Hallo,

ich plane aktuell einen Mailcow-Server auf meinem Server zu installieren.
Vor der Mailcow habe ich einen Nginx Proxy Manager, da noch ein paar andere Dienste dahinter sind.
Ich habe mir auch folgende Artikel durchgelesen:
docs.mailcow.email Icon Advanced SSL - mailcow: dockerized documentation

docs.mailcow.email Icon docs.mailcow.email
Advanced SSL - mailcow: dockerized documentation
None
docs.mailcow.email

docs.mailcow.email Icon Overview - mailcow: dockerized documentation
docs.mailcow.email Icon docs.mailcow.email
Overview - mailcow: dockerized documentation
None
docs.mailcow.email

Ich habe diese Artikel auch verstanden, aber was ich nicht verstehe ist, wie bekomme ich die 3 Zertifikate mail.domain.de, autodiscover.domain.de und autoconfig.domain.de in einem Zertifikat unter?
Ich habe das schon ausprobiert, dass alle 3 öffentliche Keys mit CA-Zertifikat in der Datei chain.pem und die PrivateKeys in der key.pem sind und die Admin-Seite war nicht mehr erreichbar. Habe danach nur das Zertifikat von mail.domain.de benutzt und es ging. Ich verstehe, dass man nicht mehrere Zertifikate in einer Datei packt, aber wie kann ich das Problem mit den 3 Zertifikaten lösen oder bin ich da auf dem Holzweg?

Im Hintergrund lasse ich die beiden Subdomain autodiscover.domain.de und autoconfig.domain.de auf die Subdomain mail.domain.de zeigen.

Schönen Gruß,
Robert

    • esackbauer

      • Community Hero
      Moolevel 449
    • Post #2
    • This post is in German

    h725rk wie bekomme ich die 3 Zertifikate mail.domain.de, autodiscover.domain.de und autoconfig.domain.de in einem Zertifikat unter?

    Einfach alle die Hostnamen bei der Erstellung des Zertifikats im NPM eingeben. Und mail.domain.de zuerst.

      Have something to say?

      Join the community by quickly registering to participate in this discussion. We'd like to see you joining our great moo-community!

      Ahh ok, verstanden.
      Durch den Nginx Proxy Manager wird mail.h725rk.de erst an dritter Stelle angegeben. Das ist ja nicht das Problem, solange die DNS-Namen drin sind.
      Von den 4 Dateien (cert1.pem, chain1.pem, fullchain1.pem und privkey1.pem) muss ich ja rein theoretisch die fullchain1.pem als chain.pem und die privkey1.pem als key.pem in den Ordner /data/asset/ssl kopieren. Die drei Dienste neustarten und dann sollte das Zertifikat angenommen werden. Oder sehe ich das falsch?

        • esackbauer

          • Community Hero
          Moolevel 449
        • Post #4
        • Edited
        • This post is in German

        h725rk Das ist ja nicht das Problem, solange die DNS-Namen drin sind.

        Doch, kann schon ein Problem sein. Manche alte SMTP server können nicht SNI und damit erscheint für sie das zertifikat ungültig, weil die nur den ersten “Hauptnamen” auswerten können.
        Ja, die 2 Dateien genügen.

          Hmm, dann muss ich schauen, wie ich das anders löse, da ich die Reihenfolge so vorgegeben habe, wie du das gesagt hast.
          mail, autodiscover, autoconfig. Leider wurde autodiscover als erstes benutzt.

          • Hh725rk

              Moolevel 2
            • Post #6
            • This post is in German

            OK, ich muss leider den Certbot direkt installieren und das Cert dann so erstellen.
            Das nehme ich mir aber erst nächste Woche vor.

            Danke für die Hilfe.

            Ich habe mich doch jetzt damit auseinander gesetzt.
            Ich werde einen angepassten Certbot benutzen, da ich bei Netcup bin. Der Certbot ist in einem Docker Container.
            Der erstellt das Zertifikat auch richtig, so das der CN=mail.domain.de ist.
            Die Zertifikate kopiere ich per Hand.

            Für den Renewal-Prozess habe ich ein Script erstellt, was den Renewal-Prozess nach 65 Tagen durchführt. Neue Zertifikate anfordnern, kopieren der Chain und des PrivateKeys und dann neustarten der Docker Container.

            • Hh725rk

                Moolevel 2
              • Post #9
              • This post is in German

              Ich habe jetzt einige Zeit mit dem ACME-Protokoll gearbeitet.
              Ja, ich weiß, dass ist in mailcow integriert. Leider funktioniert dies nicht mit einem Proxy Manager davor.
              Also habe ich selber das ACME-Protokoll eingerichtet und es funktioniert besser als der Certbot. Weiterer Vorteil, es benötigt keine weiteren Paket, wie der Certbot.

              No one is typing