Postfix: neues TLS Zertifikat verwenden

Hallo zusammen und einen schönen Wochenbeginn.

Mittels dehydrated habe ich mir manuell um 07:46 Uhr das Zertifikat erneuern lassen:

fullchain.pem -> fullchain-1616996793.pem
Mar 29 07:46 fullchain-1616996793.pem

~# openssl x509 -enddate -noout -in fullchain.pem
notAfter=Jun 27 04:46:42 2021 GMT

Das Dateidatum zum Zeitpunkt der Erneuerung stimmt und wenn man über die gelinkte Datei die Gültigkeit abfragt, erhält man notAfter=Jun 27 04:46:42 2021 GMT
Danach habe ich # postfix reload ausgeführt, um wie im Web gelesen das neue Zertifikat zu laden, eingebunden in main.cf:

smtpd_tls_cert_file = /opt/dehydrated-master/certs/DOMAIN/fullchain.pem

Wenn ich nun über https://de.ssl-tools.net/mailservers teste, welches Zertifikat Postfix ausliefert, bekomme ich eine Gültigkeit bis 20.06.2021 angezeigt,
was dem alten Zertifikat entspricht:

~# openssl x509 -enddate -noout -in fullchain-1616411965.pem
notAfter=Jun 20 10:19:33 2021 GMT

Bedeutet also, das Postfix noch das alte Zertifikat ausliefert.

Frage 1: muss ich statt postfix reload ein restart ausführen?
Frage 2: OT wie kann ich bei Dovecot testen, welches Zertifikat dieses für die Verbindung wirklich nutzt?

Vielen Dank, lg Frank

Hi,

Am 2021-03-29 08:39, schrieb [hidden email]:

> Frage 1: muss ich statt postfix reload ein restart ausführen?
>
M. W. n. sollte "reload" reichen, aber Du kannst es mit einem "postfix
restart" ja sehr einfach testen.

> Frage 2: OT wie kann ich bei Dovecot testen, welches Zertifikat dieses
> für die Verbindung wirklich nutzt?
>
Implicit TLS:
echo | openssl s_client -connect mail.server.com:993 | openssl x509
-noout -enddate

Explicit TLS via STARTTLS:
echo | openssl s_client -connect mail.server.com:143 -starttls imap |
openssl x509 -noout -enddate

Fuer POP3, die entsprechenden Ports und den "-starttls" Parameter
anpassen.


Winni

Danke Winni

Hi,

Am 2021-03-29 08:39, schrieb [hidden email]:

Frage 1: muss ich statt postfix reload ein restart ausführen?

M. W. n. sollte "reload" reichen, aber Du kannst es mit einem "postfix restart" ja sehr einfach testen.

genau das hätte ich auch getan, wollte nur nicht eine eventuelle Fehlersuche durch ein vorzeitiges "restart" zunichte machen.
Ich warte mal noch bis morgen ab, ob noch andere Ideen hier kommen.

Frage 2: OT wie kann ich bei Dovecot testen, welches Zertifikat dieses für die Verbindung wirklich nutzt?

Implicit TLS:
echo | openssl s_client -connect mail.server.com:993 | openssl x509 -noout -enddate

Explicit TLS via STARTTLS:
echo | openssl s_client -connect mail.server.com:143 -starttls imap | openssl x509 -noout -enddate

Fuer POP3, die entsprechenden Ports und den "-starttls" Parameter anpassen.

Beide Test haben gezeigt, dass eine "dovecot reload" genügt, um die neuen Zertifikate zu nutzen.
Danke für den Tipp.

On 29.03.21 08:39, [hidden email] wrote:
> Hallo zusammen und einen schönen Wochenbeginn.
>
> Mittels dehydrated habe ich mir manuell um 07:46 Uhr das Zertifikat
> erneuern lassen:

> Frage 1: muss ich statt postfix reload ein restart ausführen?

Meines Wissens und Erfahrung nach musst du überhaupt nichts tun, da die
Prozesse, die das Zertifikat verwenden, nach einem begrenzten Zeitraum eh
beendet und vom Master neu gestartet werden. Das hatte Wietse auch mal
geschrieben, finde aber gerade die Mail nicht. Bei mir läuft es prima ohne
das ich für Postfix irgendetwas tue.

Für Dovecot verende ich 'doveadm reload'.

Grüße,
  Juri

[zweiter Versuch, hoffentlich DMARC clean...]

On 29.03.21 08:39, [hidden email] wrote:
> Hallo zusammen und einen schönen Wochenbeginn.
>
> Mittels dehydrated habe ich mir manuell um 07:46 Uhr das Zertifikat
> erneuern lassen:

> Frage 1: muss ich statt postfix reload ein restart ausführen?

Meines Wissens und Erfahrung nach musst du überhaupt nichts tun, da die
Prozesse, die das Zertifikat verwenden, nach einem begrenzten Zeitraum eh
beendet und vom Master neu gestartet werden. Das hatte Wietse auch mal
geschrieben, finde aber gerade die Mail nicht. Bei mir läuft es prima ohne
das ich für Postfix irgendetwas tue.

Für Dovecot verende ich 'doveadm reload'.

Grüße,
  Juri

Am 29.03.2021 um 10:04 schrieb Juri Haberland:

> [zweiter Versuch, hoffentlich DMARC clean...]
der erste Versuch kam auch in der Liste an ;-) Danke Juri, in der Tat, Postfix liefert nun das neue Zertifikat aus. Im
logfile hab ich dazu leider mit aktuellen debug level keine Info über
den Tausch gefunden.
Aber es funktioniert. Werde nächste Woche noch mal prüfen.
Für dovecot nehme ich nun wie von Dir empfohlen "doveadm reload" statt
"dovecot reload"

Danke an alle, lg Frank