ACME DNS Manual Mode

yeti314

Hi,
ich wollte fragen ob das genutzte ACME auch den DNS Manual Mode unterstützt ?
Wäre ganz nett denn dann muss man keinen Host mit Port 80 exposen und somit eine Angriffsfläche weniger.

“acmesh-official/acme.sh/wiki/dns-manual-mode”

Gruss

mlcwuser

Ich weiss es nicht genau, aber ich würde so wenig wie möglich an den Mailcow-eigenen Skripten und Containern herumbasteln.

Was du tun könntest, wäre, Let’s Encrypt in Mailcow zu deaktivieren und die Zertifikate mit einem anderen ACME-Client (z. B. Certbot) manuell zu erstellen und anschliessend an die richtign Stellen zu kopieren.

Aber auch das würde ich dir nicht wirklich empfehlen. Ich würde stattdessen einfach die automatische Weiterleitung von HTTP auf HTTPS so einrichten, wie es in der Dokumentation beschrieben ist, und Port 80 offen lassen.

In der Praxis ist das nicht wirklich unsicherer, als Port 80 komplett zu schliessen, und hat zusätzlich den Vorteil, dass Browser, die nicht standardmässig HTTPS bevorzugen (was heutzutage zwar kaum noch relevant ist), automatisch nach HTTPS weitergeleitet werden, anstatt in ein Timeout zu laufen.

Auch wird die Gültigkeitsdauer von TLS-Zertifikaten in Zukunft weiter verkürzt werden. Dadurch wird eine manuelle Erneuerung zunehmend unpraktikabel und auf Dauer kaum noch sinnvoll umsetzbar sein.

disgustipated

I use a script i created that uses certbot to generate the certs, and then copies them over to mailcow using this process
https://docs.mailcow.email/post_installation/firststeps-ssl/#how-to-use-your-own-certificate
That links to the “host your own certificate” section. I did this because i planned on hosting multiple domains and enabled SNI.
I then have another script that compares the TLSA values in the dns records, and updates them if they dont match. its all automatic and pretty easy if youre familiar with managing certificates.

mlcwuser

disgustipated There may be various good reasons why you might not want to manage certificates directly with Mailcow’s ACME client. If you have automated this process using scripts, even better.

However, the OP seemed only concerned with being able to close port 80, and they explicitly asked for the certificates to be created manually. In my opinion, being able to close port 80 alone is not worth the effort, and It certainly isn’t worth creating the certificates manually four to six times a year when using Let’s Encrypt, or even more often in the near future! ;-)

disgustipated

Ah I think I understand now, once i figured out how to generate certs without the http challenge and instead using the dns challenge I didnt look back since i was able to fully close ports like 80

Becker884

ich habe Port 80 auch zu und Mailcow ACME deaktiviert.
Meine andere VM (Webserver) holt sich wildcard Zertifikate per DNS challenge, diese werden automatisch in eine SMB Freigabe kopiert.
Mailcow VM prüft jede Nacht ob diese Zertifikate neu sind, wenn ja werden sie kopiert und die betreffenden Docker neugestartet.
Zusätzlich wird die neue TLSA erstellt, alle 15min verglichen und bei Bedarf erneuert.
Funktioniert prima.

P.S. gegen die Meldung: “TLS SNI not matched, using default chain” musste ich
/opt/mailcow-dockerized/data/conf/postfix/sni.map
mail.xxx.de /etc/ssl/mail/key.pem /etc/ssl/mail/cert.pem
chattr +i /opt/mailcow-dockerized/data/conf/postfix/sni.map
diese noch “fest” setzen

mlcwuser

Ja kann man alles machen. Ich finde einfach dass es den Aufwand nicht wert ist nur um Port 80 schliessen zu können. immer vorausgesetzt, dass man die HTTP nach HTTPS Weiterleitung aktiviert hat.

Wenn mir aber jemand eine konkreten Angriffsvektor zeigen kann, den ich damit verhindern kann, überlege ich mir vielleicht ebenfalls so etwas zu implementieren. 😉

Becker884

Das habe ich wohl falsch rüber gebracht mit dem Port 80.
Mein Webserver existierte schon vor Mailcow.
Beides auf einer VM zu betreiben geht wohl auch, habe ich mich aber nicht getraut als Noob, also separate VM erstellt.

Ich brauchte für den Webserver, der auch als Reverse Proxy fungiert, Wildcard Zertifikate. Das war/ist auch überhaupt kein Problem mit Certbot.

Als ich Mailcow installiert habe, hatte ich also schon diese VM mit Wildcard Zertifikaten per DNS Challenge (und auch noch Port 80 mit Weiterleitung).
Mein bestreben war also von Anfang an die Wildcard Zertifikate auch in Mailcow zu importieren, also ACME skip=y.
Später habe ich dann Port 80 geschlossen, da in meinen Augen unnötig.

Ist einmalig ein bisschen Handarbeit, aber das ist die Installation von Mailcow ja auch.