Multidomain-Zertifikat über Letsencrypt?

  • Hallo,


    mir ist nicht klar, ob es das Feature schon gibt oder es nu in der Planung war. Ich vermissen folgendes bzw. suche einen Weg es zu realisieren:


    Dovecot und Postfix sollen *ein* Zertifikat erhalten, welches mehrere SANs enthaelt. Ich moechte die Kunden nicht zwingen die Einstellungen ihres eMail-Programms aendern zu muessen, deshalb soll das System mehrere valide Namen haben.


    Kann ich über Liveconfig ein Letsencrypt-Zertifikat erstellen, welches mehrere SANs besitzt? Ich habe mich durch den LUA-Code gewuehlt in der Hoffnung mit Hilfe eines Hooks einem ausgewaehlten Zertifikat eine weitere SAN mitgeben zu koennen, leider ohne Erfolg. Ich finde keinerlei Letsencrypt-Logik.


    Angenommen ich baue mir ein LE-Zertifikat per Certbot ganz an Liveconfig vorbei, dann wuerde ich es gerne trotzdem an Liveconfig uebergeben, so dass Liveconfig es an die Dienste (Postfix, Dovecot) verteilt. Ist dies der Weg den ich gehen sollte? Muss ich dafuer wirklich mit der API sprechen? Ich wuerde gerne allzu große Klimmzüge vermeiden.


    Gruß ksmx

  • Dovecot und Postfix sollen *ein* Zertifikat erhalten, welches mehrere SANs enthaelt. Ich moechte die Kunden nicht zwingen die Einstellungen ihres eMail-Programms aendern zu muessen, deshalb soll das System mehrere valide Namen haben.


    Da stellt sich die Frage, was leichter ist: einmalig Kunden dazu zwingen, ihr Mailprogramm zu ändern, oder sich um ein SAN-Zertifikat zu bemühen.


    Zumal es - abhängig von der Umgebung - im SAN-Zertifikat auch Privatsphären-Probleme gibt. Immerhin sieht jeder, welche CN sonst noch geschützt werden.


    Zitat

    Kann ich über Liveconfig ein Letsencrypt-Zertifikat erstellen, welches mehrere SANs besitzt?


    Abgesehen von der Domain und der WWW-Subdomain - nein.



    Zitat

    Angenommen ich baue mir ein LE-Zertifikat per Certbot ganz an Liveconfig vorbei, dann wuerde ich es gerne trotzdem an Liveconfig uebergeben, so dass Liveconfig es an die Dienste (Postfix, Dovecot) verteilt. Ist dies der Weg den ich gehen sollte? Muss ich dafuer wirklich mit der API sprechen? Ich wuerde gerne allzu große Klimmzüge vermeiden.


    Certbot/Dehydrated - möglich.
    Übergabe an LiveConfig - nicht.

  • Okay, dann sehe ich noch den Weg, dass ich in Liveconfig einmalig manuell ein Zertifikat fuer die beiden Dienste einpflege und ich per certbot regelmäßig ein aktualisiertes Zertifikat in die Dateien


    /etc/ssl/certs/postfix.crt
    /etc/ssl/certs/dovecot.crt


    schreibe. Per renewal-hook werden die Dienste dann neu gestartet.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!