Postfix: neues TLS Zertifikat verwenden

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
6 messages Options
Reply | Threaded
Open this post in threaded view
|

Postfix: neues TLS Zertifikat verwenden

fk+postfix

Hallo zusammen und einen schönen Wochenbeginn.

Mittels dehydrated habe ich mir manuell um 07:46 Uhr das Zertifikat erneuern lassen:

fullchain.pem -> fullchain-1616996793.pem
Mar 29 07:46 fullchain-1616996793.pem

~# openssl x509 -enddate -noout -in fullchain.pem
notAfter=Jun 27 04:46:42 2021 GMT

Das Dateidatum zum Zeitpunkt der Erneuerung stimmt und wenn man über die gelinkte Datei die Gültigkeit abfragt, erhält man notAfter=Jun 27 04:46:42 2021 GMT
Danach habe ich # postfix reload ausgeführt, um wie im Web gelesen das neue Zertifikat zu laden, eingebunden in main.cf:

smtpd_tls_cert_file = /opt/dehydrated-master/certs/DOMAIN/fullchain.pem

Wenn ich nun über https://de.ssl-tools.net/mailservers teste, welches Zertifikat Postfix ausliefert, bekomme ich eine Gültigkeit bis 20.06.2021 angezeigt,
was dem alten Zertifikat entspricht:

~# openssl x509 -enddate -noout -in fullchain-1616411965.pem
notAfter=Jun 20 10:19:33 2021 GMT

Bedeutet also, das Postfix noch das alte Zertifikat ausliefert.

Frage 1: muss ich statt postfix reload ein restart ausführen?
Frage 2: OT wie kann ich bei Dovecot testen, welches Zertifikat dieses für die Verbindung wirklich nutzt?

Vielen Dank, lg Frank

Reply | Threaded
Open this post in threaded view
|

Re: Postfix: neues TLS Zertifikat verwenden

Winfried Neessen
Hi,

Am 2021-03-29 08:39, schrieb [hidden email]:

> Frage 1: muss ich statt postfix reload ein restart ausführen?
>
M. W. n. sollte "reload" reichen, aber Du kannst es mit einem "postfix
restart" ja sehr einfach testen.

> Frage 2: OT wie kann ich bei Dovecot testen, welches Zertifikat dieses
> für die Verbindung wirklich nutzt?
>
Implicit TLS:
echo | openssl s_client -connect mail.server.com:993 | openssl x509
-noout -enddate

Explicit TLS via STARTTLS:
echo | openssl s_client -connect mail.server.com:143 -starttls imap |
openssl x509 -noout -enddate

Fuer POP3, die entsprechenden Ports und den "-starttls" Parameter
anpassen.


Winni
Reply | Threaded
Open this post in threaded view
|

Re: Postfix: neues TLS Zertifikat verwenden

fk+postfix

Danke Winni

Am 29.03.2021 um 08:59 schrieb Winfried Neessen:
Hi,

Am 2021-03-29 08:39, schrieb [hidden email]:

Frage 1: muss ich statt postfix reload ein restart ausführen?

M. W. n. sollte "reload" reichen, aber Du kannst es mit einem "postfix restart" ja sehr einfach testen.
genau das hätte ich auch getan, wollte nur nicht eine eventuelle Fehlersuche durch ein vorzeitiges "restart" zunichte machen.
Ich warte mal noch bis morgen ab, ob noch andere Ideen hier kommen.

Frage 2: OT wie kann ich bei Dovecot testen, welches Zertifikat dieses für die Verbindung wirklich nutzt?

Implicit TLS:
echo | openssl s_client -connect mail.server.com:993 | openssl x509 -noout -enddate

Explicit TLS via STARTTLS:
echo | openssl s_client -connect mail.server.com:143 -starttls imap | openssl x509 -noout -enddate

Fuer POP3, die entsprechenden Ports und den "-starttls" Parameter anpassen.

Beide Test haben gezeigt, dass eine "dovecot reload" genügt, um die neuen Zertifikate zu nutzen.
Danke für den Tipp.
Reply | Threaded
Open this post in threaded view
|

Re: Postfix: neues TLS Zertifikat verwenden

Juri Haberland
In reply to this post by fk+postfix
On 29.03.21 08:39, [hidden email] wrote:
> Hallo zusammen und einen schönen Wochenbeginn.
>
> Mittels dehydrated habe ich mir manuell um 07:46 Uhr das Zertifikat
> erneuern lassen:

> Frage 1: muss ich statt postfix reload ein restart ausführen?

Meines Wissens und Erfahrung nach musst du überhaupt nichts tun, da die
Prozesse, die das Zertifikat verwenden, nach einem begrenzten Zeitraum eh
beendet und vom Master neu gestartet werden. Das hatte Wietse auch mal
geschrieben, finde aber gerade die Mail nicht. Bei mir läuft es prima ohne
das ich für Postfix irgendetwas tue.

Für Dovecot verende ich 'doveadm reload'.

Grüße,
  Juri
Reply | Threaded
Open this post in threaded view
|

Re: Postfix: neues TLS Zertifikat verwenden

Juri Haberland
In reply to this post by fk+postfix
[zweiter Versuch, hoffentlich DMARC clean...]

On 29.03.21 08:39, [hidden email] wrote:
> Hallo zusammen und einen schönen Wochenbeginn.
>
> Mittels dehydrated habe ich mir manuell um 07:46 Uhr das Zertifikat
> erneuern lassen:

> Frage 1: muss ich statt postfix reload ein restart ausführen?

Meines Wissens und Erfahrung nach musst du überhaupt nichts tun, da die
Prozesse, die das Zertifikat verwenden, nach einem begrenzten Zeitraum eh
beendet und vom Master neu gestartet werden. Das hatte Wietse auch mal
geschrieben, finde aber gerade die Mail nicht. Bei mir läuft es prima ohne
das ich für Postfix irgendetwas tue.

Für Dovecot verende ich 'doveadm reload'.

Grüße,
  Juri

Reply | Threaded
Open this post in threaded view
|

Re: Postfix: neues TLS Zertifikat verwenden

fk+postfix
Am 29.03.2021 um 10:04 schrieb Juri Haberland:

> [zweiter Versuch, hoffentlich DMARC clean...]
der erste Versuch kam auch in der Liste an ;-)

>
> On 29.03.21 08:39, [hidden email] wrote:
>> Hallo zusammen und einen schönen Wochenbeginn.
>>
>> Mittels dehydrated habe ich mir manuell um 07:46 Uhr das Zertifikat
>> erneuern lassen:
>> Frage 1: muss ich statt postfix reload ein restart ausführen?
> Meines Wissens und Erfahrung nach musst du überhaupt nichts tun, da die
> Prozesse, die das Zertifikat verwenden, nach einem begrenzten Zeitraum eh
> beendet und vom Master neu gestartet werden. Das hatte Wietse auch mal
> geschrieben, finde aber gerade die Mail nicht. Bei mir läuft es prima ohne
> das ich für Postfix irgendetwas tue.
>
> Für Dovecot verende ich 'doveadm reload'.
Danke Juri, in der Tat, Postfix liefert nun das neue Zertifikat aus. Im
logfile hab ich dazu leider mit aktuellen debug level keine Info über
den Tausch gefunden.
Aber es funktioniert. Werde nächste Woche noch mal prüfen.
Für dovecot nehme ich nun wie von Dir empfohlen "doveadm reload" statt
"dovecot reload"

Danke an alle, lg Frank