Hallo zusammen,
ich nutze seit langem Let's Encrypt (LE) für alle verschlüsselten Verbindungen (HTTPS, FTPS, IMAPS, SMTPS). Nun würde ich aber gern auch für den Mailserver DKIM aktivieren. Soweit ich es verstanden hab, muss im DNS ein DKIM-Eintrag mit dem Public key gesetzt werden. Aber wie ist das praktikabel machbar, wenn das LE-Zertifikat alle 30 tage neu erstellt wird? Hat da jemand eine Idee?
DKIM mit Let's Encrypt nutzen
Re: DKIM mit Let's Encrypt nutzen
Das ist doch schon mal gut, das sind x509 Zertifikate, die bei dir wohl alle 30 Tage neu erzeugt werden.poncho hat geschrieben:02.08.2019 11:43:19ich nutze seit langem Let's Encrypt (LE) für alle verschlüsselten Verbindungen (HTTPS, FTPS, IMAPS, SMTPS).
Das ist auch soweit korrekt, allerdings benutzt du hier keine Zertifikate sondern lediglich einen RSA-Schlüssel, den du komplett unabhängig von LetsEncrypt erzeugst:Nun würde ich aber gern auch für den Mailserver DKIM aktivieren. Soweit ich es verstanden hab, muss im DNS ein DKIM-Eintrag mit dem Public key gesetzt werden.
Code: Alles auswählen
openssl genrsa -out private.key 1024
openssl rsa -in private.key -pubout -out public.key
Re: DKIM mit Let's Encrypt nutzen
Ich würde das nicht über LE machen. Mir würde auch kein Weg einfallen wie das funktionieren sollte.
Noch dazu ist das kein klassisches Zertifikat wie man es für diverse Dienste verwendet. Falls LE das implementieren würde bräuchtest du einen DNS Provider mit dem du über API reden kannst. Normalerweise ändert man dann auch noch den Selektor das müsste dann erst weider in OpenDKIM oder rspamd oder was auch immer geändert werden.
Soviel Aufwand ist das auch wieder nicht einfach manuell machen. Du brauchst für DKIM auch keine CA signierten Zertifikate.
Noch dazu ist das kein klassisches Zertifikat wie man es für diverse Dienste verwendet. Falls LE das implementieren würde bräuchtest du einen DNS Provider mit dem du über API reden kannst. Normalerweise ändert man dann auch noch den Selektor das müsste dann erst weider in OpenDKIM oder rspamd oder was auch immer geändert werden.
Soviel Aufwand ist das auch wieder nicht einfach manuell machen. Du brauchst für DKIM auch keine CA signierten Zertifikate.
Re: DKIM mit Let's Encrypt nutzen
Das ist doch aber ein interessanter Hinweis. Das heißt doch, ich kann einfach ein eigenes Zertifikat generieren mit langer Laufzeit und trage diesen Key dann ein. Damit sollte ich doch auf der sicheren Seite sein.hec_tech hat geschrieben:02.08.2019 11:57:12Du brauchst für DKIM auch keine CA signierten Zertifikate.
Ich ging davon aus, dass man dafür auch ein vertrautes Zertifikat braucht - eben eins von LE bspw.
Danke erst mal für den Hinweis. Ich werde das mal testen.
Re: DKIM mit Let's Encrypt nutzen
Du erzeugst gar kein Zertifikat nur einen RSA Key... Die Befehle hab ich dir ja schon geschrieben.poncho hat geschrieben:02.08.2019 12:39:09Das heißt doch, ich kann einfach ein eigenes Zertifikat generieren mit langer Laufzeit und trage diesen Key dann ein.