Ich scheitere gerade an ssl für dovecot

Debian macht sich hervorragend als Web- und Mailserver. Schau auch in den " Tipps und Tricks"-Bereich.
Antworten
dirk11
Beiträge: 2842
Registriert: 02.07.2013 11:47:01

Ich scheitere gerade an ssl für dovecot

Beitrag von dirk11 » 09.01.2025 00:40:01

Nabend Leute,

vielleicht kann mir ja jemand helfen.

Mein SSL-Zertifikat für meinen dovecot IMAPS-Server ist abgelaufen. Ich wollte "nur mal eben" ein neues erstellen, jetzt funktioniert gar nichts mehr. Fehlermeldung laut journalctl -xeu dovecot.service ist
imap-login: Error: Failed to initialize SSL server context: Can't load SSL private key (ssl_key setting): Key is for a different cert than than ssl_cert: user=<>, rip=91.32.127.161, lip=192.168.2.1, session=<AkSjRjorfPlbIH>

Mein Problem ist zugegebenermaßen, daß ich nicht so ganz verstehe, was man unter Stable machen muss und welche Dateien wirklich notwendig sind.
Ich würde mich dementsprechend freuen, wenn mir jemand eine Schritt-für-Schritt Anleitung nennen könnte, wie ich neue, 10 Jahre gültige self-signed cert für dovecot erstelle.
Die Anleitungen, die ich im Netz gefunden und ausprobiert habe, waren alle nicht von Erfolg gekrönt, ich gebe gerade auf...
In /etc/dovecot/conf.d/10-ssl.conf steht:
ssl_cert = </etc/dovecot/dovecot.pem
ssl_key = </etc/dovecot/private/dovecot.pem
ssl_client_ca_dir = /etc/ssl/certs
ssl_dh = </usr/share/dovecot/dh.pem

Und in /etc/dovecot/dovecot.conf steht:
ssl_dh = </etc/dovecot/dh.pem


Mich beschleicht gerade das Gefühl, dass das nicht ganz korrekt ist, obwohl es so funktioniert hat...

Benutzeravatar
debilian
Beiträge: 1393
Registriert: 21.05.2004 14:03:04
Wohnort: 192.168.43.7
Kontaktdaten:

Re: Ich scheitere gerade an ssl für dovecot

Beitrag von debilian » 09.01.2025 07:52:08

dirk11 hat geschrieben: ↑ zum Beitrag ↑
09.01.2025 00:40:01
Die Anleitungen, die ich im Netz gefunden und ausprobiert habe, waren alle nicht von Erfolg gekrönt, ich gebe gerade auf...
Da ich meistens letsencrypt nehme, poste doch mal einen Beispiel Link einer der Anleitungen, die du genutzt hast.

EDIT, zu deiner Fehlermeldung finde ich z.B. https://serverfault.com/questions/10126 ... er-context
-- nichts bewegt Sie wie ein GNU --

Benutzeravatar
cosinus
Beiträge: 4387
Registriert: 08.02.2016 13:44:11
Lizenz eigener Beiträge: GNU General Public License
Wohnort: Bremen

Re: Ich scheitere gerade an ssl für dovecot

Beitrag von cosinus » 09.01.2025 13:43:38

dirk11 hat geschrieben: ↑ zum Beitrag ↑
09.01.2025 00:40:01
Key is for a different cert than than ssl_cert
Klingt als wenn nur die Cert-Datei getauscht wurde, aber nicht die Key-Datei. Wie wurde denn da nun was genau neu erstellt?

Benutzeravatar
shoening
Beiträge: 916
Registriert: 28.01.2005 21:05:59
Lizenz eigener Beiträge: MIT Lizenz

Re: Ich scheitere gerade an ssl für dovecot

Beitrag von shoening » 10.01.2025 19:50:18

Hi,

wenn ich mich richtig erinnere, dann habe ich die selbst-signierten dovecot Zertifikate früher immer mittels

Code: Alles auswählen

dpkg-reconfigure dovecot-common
neu erzeugt. 10 Jahre waren die aber sicherlich nicht gültig.
dovecot-common gibt es aber nicht mehr.

Dafür steht in der Konfigurationsdatei /etc/dovecot/conf.d/10-ssl.conf ein Hinweis, dass zur Erzeugung von selbstsignierte Zertifikaten jetzt ein Script /usr/share/dovecot/mkcert.sh existiert. Bevor man das laufen lässt, muss man ggfs. noch Anpassungen an der Datei /usr/share/dovecot/dovecot-openssl.cnf vornehmen.

Viele Grüße
Stefan

PS: Die Dokumentation zu dem Script gibt es unter https://doc.dovecot.org/2.3/admin_manua ... _creation/
Bürokratie kann man nur durch ihre Anwendung bekämpfen.

dirk11
Beiträge: 2842
Registriert: 02.07.2013 11:47:01

Re: Ich scheitere gerade an ssl für dovecot

Beitrag von dirk11 » 12.01.2025 00:35:48

Danke für eure Hinweise!
Schlussendlich hat es das hier als Start-Hinweis gebracht. Hat "irgendwie" funktioniert, aber ehrlicherweise weiß ich immer noch nicht genau, was eine pem, key, CSR oder CRT unterscheidet. Hauptsache, es funktioniert.

Benutzeravatar
shoening
Beiträge: 916
Registriert: 28.01.2005 21:05:59
Lizenz eigener Beiträge: MIT Lizenz

Re: Ich scheitere gerade an ssl für dovecot

Beitrag von shoening » 12.01.2025 09:23:19

gelöscht - wollte auf den Wiki Beitrag verweisen, den Du selbst schon angegeben hast.
Bürokratie kann man nur durch ihre Anwendung bekämpfen.

Antworten