Ich habe das Problem, dass bei einem meiner Kunden zwar das Zertifikat erneuert wurde, aber Outlook dieses nicht wahrnimmt. Es meckert an, dass das alte Zertifikat abgelaufen ist!

Im übrigen hab ich das Script (LetsEcrypt) verwendet!

Im Webmail passt das Zertifikat!!

preparation

export FQDN="mail.xxx.com"
export SSL_DOMAIN="xxx.com"
export SSL_DOMAIN_AUTO="autodiscover.xxx.com"
export SSL_EMAIL="office@xxx.com"
export SSL_BUNDLE_T="/etc/grommunio-common/ssl/server-bundle.pem"
export SSL_KEY_T="/etc/grommunio-common/ssl/server.key"

install LE dependencies

zypper install -y python3-certbot python3-certbot-nginx
firewall-cmd --add-port=80/tcp --zone=public --permanent
firewall-cmd --reload

stop nginx and get LE certificate

[ -e "/etc/nginx/conf.d/grommunio.conf" ] && mv "/etc/nginx/conf.d/grommunio.conf" "/etc/nginx/conf.d/grommunio.conf.grommunio-setup"
systemctl stop nginx
certbot certonly -n --standalone --agree-tos \
--preferred-challenges http \
--cert-name="${FQDN}" \
-d "${FQDN}" \
-d "${SSL_DOMAIN_AUTO}" \
-m "${SSL_EMAIL}"
[ -e "/etc/nginx/conf.d/grommunio.conf.grommunio-setup" ] && mv "/etc/nginx/conf.d/grommunio.conf.grommunio-setup" "/etc/nginx/conf.d/grommunio.conf"

create bundles

cat "/etc/letsencrypt/live/${FQDN}/cert.pem" "/etc/letsencrypt/live/${FQDN}/fullchain.pem" > "${SSL_BUNDLE_T}"
cp -f "/etc/letsencrypt/live/${FQDN}/privkey.pem" "${SSL_KEY_T}"
find /etc/grommunio-common/ssl/ -type f -exec chown -h gromox:gromox {} +

enable the renewing timer

systemctl enable grommunio-certbot-renew.timer
systemctl start grommunio-certbot-renew.timer

verify nginx

nginx -t
systemctl restart nginx

restart certificate-dependent system services

systemctl restart gromox-http.service gromox-imap.service gromox-pop3.service postfix.service gromox-delivery-queue.service

Was liegt im: /etc/grommunio-common/ssl/? Sind das die neuen Zertifikate?

Wenn nicht:

# copy to grommunio certificates:
cat "/etc/letsencrypt/live/${FQDN}/cert.pem" "/etc/letsencrypt/live/${FQDN}/fullchain.pem" > "${SSL_BUNDLE_T}"
cp -f "/etc/letsencrypt/live/${FQDN}/privkey.pem" "${SSL_KEY_T}"

cd /etc/grommunio-common/ssl/
chown gromox:gromox server*

und die Dienste restarten.

Schnipsel aus meinem internen howto wo die Zertifikate von woanders einwandern.

#Zertifikat nun richtig verlinken
rm /etc/grommunio-common/ssl/*
ln -s /etc/ssl/acme/$(dnsdomainname)/fullchain.pem /etc/grommunio-common/ssl/server-bundle.pem
ln -s /etc/ssl/acme/$(dnsdomainname)/key.pem /etc/grommunio-common/ssl/server.key

Rechte müssen natürlich passen wie schon bei Walter vermerkt.

5 months later

Hallo!

Ich habe auch das Problem, das die aktualisierten Zertifikate nicht in /etc/grommunio-common/ssl/ liegen!

Ich habe das Verfahren von WalterH probiert ! Da bekomme ich den Fehler bad beim ausführen des Cat und Copy Befehls.

Beim Verfahren von crpb weiß ich nicht wie ich berechtigungen setzen soll.

Wenn ich in /etc/grommunio-common/ssl/*

chown gromox:gromox server* eingebe erhalte ich
chown: cannot dereference 'server-bundle.pem': No such file or directory
chown: cannot dereference 'server.key': No such file or directory

Die Symlinks mit den ln befehlen erzeugt sind aber da.
Ich muß warscheinlich die Berechtigungen der referenzierten Files änder - die finde ich aber nicht!

Kann jemand von euch helfen?

Danke im voraus!

    antiager Da bekomme ich den Fehler bad beim ausführen des Cat und Copy Befehls.

    wurden auch die Variablen wie unter preparation erklärt gesetzt, zumindest die, die der cp und cat Befehl verwendet?
    In /etc/grommunio-common/ssl/* müssen die _Zertifikate liegen, keine Sym Links.

    Ok. Da habe ich anscheinend etwas nicht richtig verstanden!

    Dein Posting setzt voraus, das dass im Posting verwendete Preparation Script verwendet wurde?

    Das ist bei mir nicht der Fall!

    Welche Variablen muss ich setzen, damit die von dir genannte Vorgehensweise funktioniert?

    Danke!

      Mir fällt gerade auf, ich muss das genze noch ein bisschen genauer erläutern!

      Ich hatte beim installieren mehre letsencrypt Zertifikate generieren lassen.

      So weit alles kar!

      Dann liefen die Zerifikate ab. Sie konnten wohl durch einen DNS Fehler nicht erneuert werden.

      Es kam zu Zertifikatsfehlermeldungen!

      Dann habe ich den DNS Fehler behoben und nginx manuell gestoppt und mit certbot renew die Zertifikate erneuert,

      Das hat bis dahin auch geklappt.

      Offensichtlich war certbot renew aber nicht ausreichend denn die neuen Zerifikat werden nicht verwendet.

      Das brachte mich dann zu diesem etwas älteren Posting.

      Die beiden von mir erwähnten Howtos funktionieren nicht weil hier offensichtlich von anderen Voraussetzungen ausgegangen wird.

      Sorry für das von mir angezettelte Chaos!

      Meine Frage ist nun eigentlich wie stelle ich Grommunio die neuen Zertifikate zur Verfügung?

      Vorab Danke und nochmals Entschuldigung für das Tohowabohu!

      antiager Welche Variablen muss ich setzen, damit die von dir genannte Vorgehensweise funktioniert?

      Das sollte nicht so schwer sein, die beiden Zeilen zeigen die Variablen an, alles was mit $ beginnt.

      Danke für die Nachhilfe!

      Hat geklappt!

      © 2020-2024 grommunio GmbH. All rights reserved. | https://grommunio.com | Data Protection | Legal notice