ssl für mehrere domains

testerlein

hallo, eine frage. ich habe jetzt mehrere Domains in grommunio anglegt. mein outlook sagt dass das zertifikat nicht zur domain passt. muss ich da für jede domain ein zertifikat anglegen und wenn, wie mache ich das? welche SAN einträge.

dies für servername und autodiscover.domain.tld

edit: ich habe jetzt in /etc/grommunio-common/ssl für die domain zertifikate erstellt, was ist jetzt zu tun
hab
chown gromox:gromox /etc/grommunio-common/ssl/domain.tld*
und chmod 0644 /etc/grommunio-common/ssl/domain.tld* ausgeführt und die dienste neu gestartet

testerlein

hallo, hab inzwischen etwas rumprobiert und auch anleitungen hier verfolgt:
https://supertekboy.com/2016/05/17/using-srv-records-for-autodiscover/
https://community.grommunio.com/d/2044-problem-mit-dem-zertifikat-bei-autodiscover-in-outlook

aber trotzdem meckert outlook wegen autodiscover.domain.tld trotz CNAME und autodiscover.tcp .....

Geht das wirklich nur mit teurem multidomainzertifikat?

bcnet

testerlein We are a hosting provider with multiple customers domains and i can confirm you that we only use one wildcard certificat with a single domain. You only need a SRV DNS record for each of your hosted domain like autodiscover.tcp.customerdomain.xx pointing at your server public hostname
We don't use or add autodiscover.customerdomain.xx and Outlook never complain about the certificate
We had once a customer complaining about Outlook certificate error and it was due to a expired Let's Encrypt certificate on their domain which was used on their website

crpb

Das geht auch via registry und SRV einträgen.
Outlook-Registy: https://community.grommunio.com/d/444-scripting-snippets-notepad/26
DNS: https://community.grommunio.com/d/444-scripting-snippets-notepad/16

https://docs.grommunio.com/kb/autodiscover.html

Und man kann auch irgendeinen Host benutzen der eine Weiterleitung zu deinem grommunio-host sendet.

~~Siehe auch https://community.grommunio.com/d/2044-problem-mit-dem-zertifikat-bei-autodiscover-in-outlook~~
der war ja schon drin 😛

Und certbot kann doch auch ganz ganz viele hostnamen oder nicht? also sowas in der richtung. (fehlt natürlich kram weil ich keine lust hab zu schauen :>)
certbot certonly --cert-name="grommunio.fdqn.tld" -d "grommunio.fqdn.tld" -d "autodiscover.fqdn.tld" -d "autodiscover.otherfqdn1.tld" -d "autodiscover.otherfqdn2.tld" -d "autodiscover.otherfqdn2.tld" -d "autodiscover.otherfqdn3.tld"

WalterH

Ich habe dafür ein Script, das die Let's Encrypt Zertifikate erzeugt:

certbot certonly -n --standalone --agree-tos --preferred-challenges http --cert-name="mail.<DOMAIN1>" \
  -d mail.<DOMAIN1> -d autodiscover.<DOMAIN1> \
  -d autodiscover.<DOMAIN2> \
  -d autodiscover.<DOMAIN3> \
  -d autodiscover.<DOMAIN4> \
--pre-hook "service nginx stop" --deploy-hook /usr/share/grommunio-setup/grommunio-certbot-renew-hook --post-hook "service nginx start"
#

DOMAIN1 ist die Hauptdomain, benötigt ein mail und autodiscover Zertifikat, DOMAIN2 bis DOMAINn sind die weitern Domain, die benötigen nur ein autodiscover Zertifikat. Das habe ich aber schon mal im Forum erklärt.

testerlein

WalterH

Hallo, ich werde das hier probieren. Da hier auch ein paar Kunden drauf sollen, sind registry einträge und GPO nicht wirklich praktikabel. Da ich aber kein Letsencrypt verwenden möchte werde ich ein Multidomainzertifikat probieren. gemäß deiner Anleitung sollte das ja gehen.

werde hier berichten

chernandez

WalterH Hi Walter

Thanks for answering that, we have a similar script from the official grommunio documentation, my question is that every time I need to add a new domain/sub domain I need to list all previous domains that are already working on my instance?

Thanks

WalterH

Hi,

where you find the script in the official grommunio documentation?
yes you need to list all active domains, that is the reason why I created my script. With every new domain I extend my script by one line.

externa1

bcnet
thats how we do it since a few years - also havin custerms with more then 100 domains - would be a nightmare to do with certs - so only one ssl cert for the mailserver - and on every domain DNS a SRV record _autodiscover_tcp.domain.tld with the dns name of the mailserver as proberty

rg
Christian