Postfix hat keinen Zugriff auf Zertifikat

[superhero]

Ich richte eben einen neuen Server (Debian 9, Postfix, Dovecot) ein und habe folgendes Problem. Wenn ich das von Certbot erstellte Zertifikat in die main.cf eintrage, wird folgender Fehler geloggt:

warning: cannot get RSA certificate from file "/etc/letsencrypt/live/<dom.tlv>/fullchain.pem;": disabling TLS support

Probleme damit haben nicht wenige, so dass im Internet auch eine Lösung angeboten wird, die einwandfrei funktioniert. Man erstellt mit openssl ein selbssigniertes Zertifikat und erteilt Postfix entsprechende Zugriffsrechte.

Allerdings finde ich die Lösung nicht elegant. Ich habe extra ein eigenes Zertifikat für die Domain erstellt und möchte dieses dann auch nutzen. Liegt unter /etc/letsencrypt/live/<dom.tlv>/fullchain.pem

Wie kann ich nun dem User postfix Zugriff auf diese Zertifikate geben? Merkwürdigerweise hat Dovecot kein Problem auf das Zertifikat zuzugreifen. Hat ohnehin chmod 0777. Warum zickt Postfix da herum?

[TomL]

Probleme damit haben nicht wenige, so dass im Internet auch eine Lösung angeboten wird, die einwandfrei funktioniert. Man erstellt mit openssl ein selbssigniertes Zertifikat und erteilt Postfix entsprechende Zugriffsrechte. Allerdings finde ich die Lösung nicht elegant. Ich habe extra ein eigenes Zertifikat für die Domain erstellt und möchte dieses dann auch nutzen.

Nach meinem Verständnis ist es völlig egal, ob Du das Zertifikat via OpenSSL erstellst oder über einen Online-Service. Ich ziehe es aber vor, mit der eigenen Erstellung via OpenSSL Exklusiv-Rechte zu gewährleisten. Und eigentlich ist es auch völlig egal, wo Du das Zertikat speicherst. Der einzige Zweck von Cert und Key ist sicherzustellen, dass ein Client tatsächlich weiß, dass er mit dem richtigen Server verbunden ist und nicht vielleicht auf eine andere Maschine umgeleitet wurde und dass mit dem Key der Traffic für beide verständlich auch ordentlich verschlüsselt wird.
Ich habe meine Certs für unsere eigenen Clients selber über OpenSSL erstellt. Bei der ersten Verbindung zum Mailserver haben sich das alle Clients runtergeladen und nun gehe ich davon aus, dass für die Clients das Verbindungszertifikat zu einer anderen Maschine inkompatibel ist.

Ich habe meine Certs einfach in /etc/postfix/cert gespeichert, weil ich es wiederum für eleganter halte, alle meine Änderungen am System jeweils auf eine (passende) Stelle zu konzentrieren. Das ist vielleicht gegen die Norm, es macht mir aber die Backups von Confs und deren Abhängigkeiten einfacher und in Folge dessen definitiv eine spätere Wiederherstellung, wenns mal explodiert ist. Das Recht für das Verzeichnis ist 755, für die Certs 644, Eigentümrer ist root:root. Und damit gibts überhaupt keine Probleme.

[superhero]

Hi Thomas,

erstmal Danke für die Antwort.

Ich habe certbot verwendet und kann den Service sehr empfehlen. Man muss (bis auf eine E-Mail-Adresse) keinerlei Angaben machen. Kein Standort, Name, Ort, Firma und so. Das ist wirklich genial. Probiere es mal aus. Die sind 90 Tage gültig und können automatisiert verlängert werden. Total kostenlos und von einer Zertifizierungsstelle. Da muckt der Browser nicht!

Und auch diese Zertifikate gehören root. Wie erwähnt hat Dovecot aber keine Probleme die zu öffnen. Ich musste für Postfix extra welche anlegen, mit Rechtevergabe in einem eigenen Verzeichnis, an dem Postfix die Rechte hat. Nicht wirklich aufwendig, aber umständlich. Das würde ich gern vermeiden. Sollte doch irgendwie möglich sein, Postfix dazu zu befähigen, auf das Verzeichnis mit dem vorhandenen Zertifikat zugreifen zu lassen.

Sicher, jetzt funktioniert es wie bei dir. Aber das müsste nicht sein. Es gibt ein Zertifikat, das zudem universell einzusetzen wäre. Außerdem interessiert mich das Thema. Ich nehme an, dass der User postfix absichtlich beschränkte Rechte besitzt. Wäre schön, mehr dazu zu erfahren.

[scientific]

Ich beschäftige mich auch grad mit dem Thema Zertifikate für den Mailserver.

Hab dazu vor ein paar Tagen einen guten Link hier im Forum bekommen.

Ich denk, ich wetfs so lösen dass exim und dovecot jeweils ein eigenes Zertifikat bekommen, dass für den jeweiligen User lesbar ist (dovecot und Debian-exim) und in den Konfigverzeichnissen der beidrn Server abgelegt wird.

Zudem erzeuge ich ein eigenes CA-Zertifikat, welches ich den Entsprechenden Clients füttere. Damit hab ich alles selber unter Kontrolle.

[TomL]

Hab dazu vor ein paar Tagen einen guten Link hier im Forum bekommen.

Könntest Du bitte den Link posten, ich habe nämlich auch immer Interesse daran zu vergleichen, ob ich bei mir was verbessern kann. Irgendwie weiss man nämlich nie so wirklich, wie es mit der eigenen Installation steht

[scientific]

In dem Thread
viewtopic.php?t=166245

[TomL]

In dem Thread
viewtopic.php?t=166245

Danke, das hatte ich zuvor schon gesehen. Übrigens, ich habe das genau so gelöst, wie Du das jetzt vorhast.... und mit dem gleichen Hintergrundgedanken. Ich glaube, dass das eine gute Lösung ist.

[HZB]

Hi Thomas,

erstmal Danke für die Antwort.

Ich habe certbot verwendet und kann den Service sehr empfehlen. Man muss (bis auf eine E-Mail-Adresse) keinerlei Angaben machen. Kein Standort, Name, Ort, Firma und so. Das ist wirklich genial. Probiere es mal aus. Die sind 90 Tage gültig und können automatisiert verlängert werden. Total kostenlos und von einer Zertifizierungsstelle. Da muckt der Browser nicht!

Und auch diese Zertifikate gehören root. Wie erwähnt hat Dovecot aber keine Probleme die zu öffnen. Ich musste für Postfix extra welche anlegen, mit Rechtevergabe in einem eigenen Verzeichnis, an dem Postfix die Rechte hat. Nicht wirklich aufwendig, aber umständlich. Das würde ich gern vermeiden. Sollte doch irgendwie möglich sein, Postfix dazu zu befähigen, auf das Verzeichnis mit dem vorhandenen Zertifikat zugreifen zu lassen.

Sicher, jetzt funktioniert es wie bei dir. Aber das müsste nicht sein. Es gibt ein Zertifikat, das zudem universell einzusetzen wäre. Außerdem interessiert mich das Thema. Ich nehme an, dass der User postfix absichtlich beschränkte Rechte besitzt. Wäre schön, mehr dazu zu erfahren.

Postfix läuft per default in einem chroot. /etc/letsencrypt/... ist nicht Teil des chroot.