Hallo zusammen und einen schönen Wochenbeginn. Mittels dehydrated habe ich mir manuell um 07:46 Uhr das Zertifikat erneuern lassen: fullchain.pem -> fullchain-1616996793.pem ~# openssl x509 -enddate -noout -in fullchain.pem Das Dateidatum zum Zeitpunkt der Erneuerung stimmt und wenn man
über die gelinkte Datei die Gültigkeit abfragt, erhält man
notAfter=Jun 27 04:46:42 2021 GMT smtpd_tls_cert_file = /opt/dehydrated-master/certs/DOMAIN/fullchain.pem Wenn ich nun über https://de.ssl-tools.net/mailservers
teste, welches Zertifikat Postfix ausliefert, bekomme ich eine
Gültigkeit bis 20.06.2021 angezeigt, ~# openssl x509 -enddate -noout -in fullchain-1616411965.pem Bedeutet also, das Postfix noch das alte Zertifikat ausliefert. Frage 1: muss ich statt postfix reload ein restart ausführen? Vielen Dank, lg Frank |
Hi,
Am 2021-03-29 08:39, schrieb [hidden email]: > Frage 1: muss ich statt postfix reload ein restart ausführen? > M. W. n. sollte "reload" reichen, aber Du kannst es mit einem "postfix restart" ja sehr einfach testen. > Frage 2: OT wie kann ich bei Dovecot testen, welches Zertifikat dieses > für die Verbindung wirklich nutzt? > Implicit TLS: echo | openssl s_client -connect mail.server.com:993 | openssl x509 -noout -enddate Explicit TLS via STARTTLS: echo | openssl s_client -connect mail.server.com:143 -starttls imap | openssl x509 -noout -enddate Fuer POP3, die entsprechenden Ports und den "-starttls" Parameter anpassen. Winni |
Danke
Winni Am 29.03.2021 um 08:59 schrieb Winfried
Neessen:
Hi,genau das hätte ich auch getan, wollte nur nicht eine eventuelle Fehlersuche durch ein vorzeitiges "restart" zunichte machen. Ich warte mal noch bis morgen ab, ob noch andere Ideen hier kommen. Beide Test haben gezeigt, dass eine "dovecot reload" genügt, um die neuen Zertifikate zu nutzen. Danke für den Tipp. |
In reply to this post by fk+postfix
On 29.03.21 08:39, [hidden email] wrote:
> Hallo zusammen und einen schönen Wochenbeginn. > > Mittels dehydrated habe ich mir manuell um 07:46 Uhr das Zertifikat > erneuern lassen: > Frage 1: muss ich statt postfix reload ein restart ausführen? Meines Wissens und Erfahrung nach musst du überhaupt nichts tun, da die Prozesse, die das Zertifikat verwenden, nach einem begrenzten Zeitraum eh beendet und vom Master neu gestartet werden. Das hatte Wietse auch mal geschrieben, finde aber gerade die Mail nicht. Bei mir läuft es prima ohne das ich für Postfix irgendetwas tue. Für Dovecot verende ich 'doveadm reload'. Grüße, Juri |
In reply to this post by fk+postfix
[zweiter Versuch, hoffentlich DMARC clean...]
On 29.03.21 08:39, [hidden email] wrote: > Hallo zusammen und einen schönen Wochenbeginn. > > Mittels dehydrated habe ich mir manuell um 07:46 Uhr das Zertifikat > erneuern lassen: > Frage 1: muss ich statt postfix reload ein restart ausführen? Meines Wissens und Erfahrung nach musst du überhaupt nichts tun, da die Prozesse, die das Zertifikat verwenden, nach einem begrenzten Zeitraum eh beendet und vom Master neu gestartet werden. Das hatte Wietse auch mal geschrieben, finde aber gerade die Mail nicht. Bei mir läuft es prima ohne das ich für Postfix irgendetwas tue. Für Dovecot verende ich 'doveadm reload'. Grüße, Juri |
Am 29.03.2021 um 10:04 schrieb Juri Haberland:
> [zweiter Versuch, hoffentlich DMARC clean...] der erste Versuch kam auch in der Liste an ;-) > > On 29.03.21 08:39, [hidden email] wrote: >> Hallo zusammen und einen schönen Wochenbeginn. >> >> Mittels dehydrated habe ich mir manuell um 07:46 Uhr das Zertifikat >> erneuern lassen: >> Frage 1: muss ich statt postfix reload ein restart ausführen? > Meines Wissens und Erfahrung nach musst du überhaupt nichts tun, da die > Prozesse, die das Zertifikat verwenden, nach einem begrenzten Zeitraum eh > beendet und vom Master neu gestartet werden. Das hatte Wietse auch mal > geschrieben, finde aber gerade die Mail nicht. Bei mir läuft es prima ohne > das ich für Postfix irgendetwas tue. > > Für Dovecot verende ich 'doveadm reload'. logfile hab ich dazu leider mit aktuellen debug level keine Info über den Tausch gefunden. Aber es funktioniert. Werde nächste Woche noch mal prüfen. Für dovecot nehme ich nun wie von Dir empfohlen "doveadm reload" statt "dovecot reload" Danke an alle, lg Frank |
Free forum by Nabble | Edit this page |