Haproxy + buildin ACME

Amari

Hallo,
ich wollte fragen, wie ihr Haproxy mit Mailcow eingerichtet habt, sodass ACME noch in der Lage ist Zertifikate zu erstellen. Die Bereitgestellte Doku von Mailcow ist in der Hinsicht leider etwas oberflächlich und funktioniert nur mit SSL termination und geht vermutlich davon aus, dass die Zertifikate extern erstellt werden.

Offizielle Mailcow Doku:

frontend https-in
  bind :::443 v4v6 ssl crt mailcow.pem
  default_backend mailcow

backend mailcow
  option forwardfor
  http-request set-header X-Forwarded-Proto https if { ssl_fc }
  http-request set-header X-Forwarded-Proto http if !{ ssl_fc }
  server mailcow 127.0.0.1:8080 check

Von dem her würde ich mich freuen, sofern jemand von euch Mailcow mit Haproxy betreibt, ihr eure Config mit mir teilen könntet. Insbesondere, wenn ihr den eingebauten ACME verwendet.
Vielleicht deaktiviere ich auch den internen ACME client, mich interessiert einfach nur welches Setup ihr als best-practise anseht. Bin auf eure Meinungen gespannt.

Viele Grüße, Amari

mthax

Ich kann dir nur empfehlen, dir die Zertifikate außerhalb zu generieren und sie dann an betreffender Stelle in den Mailcow Ordner zu kopieren, wenns geht automatisiert ( gibt Anleitungen hierzu ) und den integrierten Acme Client zu deaktivieren.

Letsencrypt in Mailcow hinter einem Reverse Proxy ist ein einziger Pain, das zeigt sich schon in den Anleitungen. Der Reverse Proxy in den Anleitungen ist lokal installiert und auf dieser Annahme basieren alle Beispiele, jedoch will man das ja eigentlich nicht das der Reverse Proxy aufn selben Rechner wie der Mailserver ist, besonders wenn man noch andre Dienste hat die man veröffentlichen will.

Der Königsweg wäre, dem Acme Client DNS Authentication beizubringen, aber solange der das nicht kann lasse ich mir außerhalb von Mailcow die Zertifikate generieren und starte damit. Acme ist sicherlich einer der Schwachpunkte von Mailcow