Hallo,

weis jemand ob das das HSTS deaktivieren kann?

Viele Grüße M

Das ist in aller Regel abhängig vom eingesetzten Browser. Teste da mal andere, uU. ist das Ergebnis abweichend.

@Andy
Danke ... tatsächlich. Ein Test mit Firefox lief ohne Probleme bzw. mit "Risoko anerkennen" usw.

Liegt das dann an EDGE oder doch an Grommunio? Aus Interesse her....

Das hat mit Grommunio wohl eher nichts zu tun und jeder Browser reagiert anders auf solche Anforderungen. Letztlich müssen die Zertifikate passen, dann sind solche Sachen zumindest einfacher.

Das Zertifikat ist einfach falsch. Zertifikat reparieren und es funktioniert.

Hallo
@WalterH @Andy
Das Zertifikat habe ich mit OpenSSL -x509 ...... "repariert".
Habe am WE viel darüber gelesen, aber ich bin nicht dahinter gekommen, wie man so ein Zertifikat auf Multi-FQDN "drehen" kann. Derzeit im Zertifikat hinterlegt (unter FQDN) rechnername.domain.de

Das Zertifikat wird nun wieder als vertrauenswürdiger "Rechner" angenommen, aber an der Vertrauenswürdigkeit von autodiscover.domain.de wird noch gezweifelt - und prompt kommt Meldung/Abfrage ob angenommen werden soll (bei Outlook).

Daher komme ich zu der Frage:
Kann man auch zwei/mehrere Zertifikate hinterlegen?
Nginx zieht sich auch das Zertifikat aus /etc/grommunio-common/ssl oder hat es einen anderen Speicherort?
Gibt es vielleicht einen "Trick" wie man unter OpenSSL -x509 .... MultiFQDN machen kann?

Viele Grüße
M.

Bezüglich den Zertifikaten wäre es wohl von Vorteil, in der Admin GUI einen Menüpunkt zu hinterlegen, um mit den Zertifikaten umgehen zu können, zB. erstellen, erneuern, löschen, exportieren, importieren.

    Das selbst signierte Zertifikat ist nur ein Hilfsmittel für die Installation, bis man am Internet ist und ein Let's Encrypt Zertifikat ausstellen kann. Für Outlook ist ein selbst signierte Zertifikat unbrauchbar.

      Andy

      Andy, diese kommentare sind nicht wirklich hilfreich.
      Wenn du Erweiterungen/Verbesserungen möchtest dann stell diese Anfragen bitte bei https://github.com/grommunio im jeweiligen Projekt ein.

      • Andy replied to this.

        Andy Bezüglich den Zertifikaten wäre es wohl von Vorteil, in der Admin GUI einen Menüpunkt zu hinterlegen, um mit den Zertifikaten umgehen zu können, zB. erstellen, erneuern, löschen, exportieren, importieren.

        Absolut, da bin ich völlig Ihrer Meinung.
        So wie es Momentan ist, dass wäre dringen nötig.

        WalterH Das selbst signierte Zertifikat ist nur ein Hilfsmittel für die Installation, bis man am Internet ist und ein Let's Encrypt Zertifikat ausstellen kann. Für Outlook ist ein selbst signierte Zertifikat unbrauchbar.

        Ist bestimmt bei vielen so, aber bei uns ist das ein reiner Ersatz von einem MS Exchange Server (und ich denke, viele werden ich auch "nur so" einsetzen - und ursprünglich hatten wir USC Kopano, aber aber nicht mehr entwickelt wird). Unser Gromunnio wird niemals "frei" ins Netz gestellt. Emails werden vom Provider mittels Fetchmail abgeholt und versendet über Relay (wenn ich grad richtig denke) ...

          crpb nicht wirklich hilfreich

          Das Feature in diesem Thema, ja, geb ich Dir recht.

          WalterH selbst signierte Zertifikat ist nur ein Hilfsmittel für die Installation, bis man am Internet ist und ein Let's Encrypt Zertifikat ausstellen kann. Für Outlook ist ein selbst signierte Zertifikat unbrauchbar

          Und wie tausche ich die dann aus?

          Ausserdem gibt es noch einen Umstand, der auch bei Meet ein Problem darstellt, indem Grommunio-VMs nicht unbedingt direkt im Internet über die Ports 80 und 443 hängen, sondern über Reverse-Proxy erreichbar im Hintergrund. In so einem Falle dann ein Let's Encrypt Zertifikat über das System auszustellen geht nicht und müsste importiert werden.

            demsi01 Ersatz von einem MS Exchange Server

            Dann gibt es aber ein AD und damit einen Zertifikat Server. Dann mit dem Zertifikat Server die Zertifikate ausstellen, die sind dann Domain Trusted und der Outlook meckert nicht.

            Andy Und wie tausche ich die dann aus?

            Das sind die Pfade:

            ssl_certificate /etc/grommunio-common/ssl/server-bundle.pem;
            ssl_certificate_key /etc/grommunio-common/ssl/server.key;

            Wie man die tauscht, wurde hier im Forum mehrfach diskutiert.

            Andy Ausserdem gibt es noch einen Umstand, der auch bei Meet ein Problem darstellt, indem Grommunio-VMs nicht unbedingt direkt im Internet über die Ports 80 und 443 hängen, sondern über Reverse-Proxy erreichbar im Hintergrund. In so einem Falle dann ein Let's Encrypt Zertifikat über das System auszustellen geht nicht und müsste importiert werden.

            Genauso ist es bei uns... also nicht machbar...

            Da nach dem "Update" der Zertifikate der alte so gut wie nicht mehr läuft, POP3, IMAP, SMTP und keine Verbindung mehr von OL zu grommunio, hole ich eine Sicherung zurück - die ich gemacht hab, bevor ich Zertifikat angefasst hab...

            Setze nun einen komplett neuen auch noch auf, werde dann mal versuchen über den AD ein Zertifikat auszustellen.

            Aber ich habe da nochmal eine Frage:
            Unser Netzwerk lautet meinefirma.lan
            Unsere Email-Adressen bzw. Domain lautet meinefirma.de
            Grommunio ist nicht aus dem I-Net erreichbar

            Wenn ich nun alles richtig verstanden habe, muss ich den grommunio (den neuen) im Netzwerk so benennen:
            grommunio.meinefirma.lan - Richtig?

            Unter Setup - Ersteinrichtung - selbst definiertes Zertifikat nehmen mit FQDN grommunio.meinefirma.lan - richtig?

            Dann im DNS Server eine Primäre-Domain anlegen mit meinefirma.de
            als Host (A) die IP vom grommunio.meinefirma.de
            als Alias autodiscover.meinefirma.de auf den Host grommunio.meinefrima.de
            als Alias echange.meinefirma.de auf den Host grommunio.meinefirma.de
            als MX mail.meinefirma.de auf den Host grommunio.meinefirma.de

            • richtig ?

            Dann wenn fertig eingerichtet über Admin-Web-GUI eine Domain anlegen mit meinefirma.de und entsprechende weitere Angaben wie User usw. anlegen - richtig?

              Andy In so einem Falle dann ein Let's Encrypt Zertifikat über das System auszustellen geht nicht und müsste importiert werden.

              Also ich nutze fast überall OPNsense in front mit HAProxy. Die OPNsense zieht sich die Zertifikate und gibt die dann noch mittels transfer-jobs via ssh an die hosts weiter neu aktualisierung.
              Das landet dann in einem Ordner wo der ssh-transer-benutzer normalerweise per ACL schreibberechtigungen bekommt und die jeweilige Anwendung bekommt dann einfach symlinks auf den Pfad reingeknallt.
              Läuft! :-).

              demsi01 richtig ?

              Wie der grommunio Host heist, ist unwichtig.

              Wenn die Domain meinefirma.de lautet, einen Splitt DNS für autodiscover.meinefirma.de der auf die IP vom grommunio Server zeigt anlegen und einen 2. Splitt DNS für mail.meinefirma.de der auch auf die IP vom grommunio Server zeigt anlegen.

              Im Admin UI ADMIN -> Servers -> NEW SERVER konfigurieren.
              Selection policy: round-robin # default
              Hostname: localhost
              External name: z.B. mail.meinefirma.de

              Das sollte reichen.

              © 2020-2024 grommunio GmbH. All rights reserved. | https://grommunio.com | Data Protection | Legal notice